Q

PHP_SELF和XSS

php
xss

2011-05-21 154 views -2 likes

-2

可能重複：
PHP_SELF and XSS PHP_SELF和XSS

爲什麼有必要過濾$ _ SERVER [ 'PHP_SELF']，從如：

<form method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>"> 
    <!-- form contents --> 
</form> 

to: 

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"], ENT_QUOTES, "utf-8"); ?>"> 
    <!-- form contents --> 
</form>

以使它成爲XSS攻擊證明？

和：

比他使用的第一種形式的「漏洞」如何才能達到攻擊其他最終用戶？

2011-05-21 McRonald

+1

請不要發表重複。 – 2011-05-21 10:36:41

+2

爲什麼你問同樣的問題兩次？ – Gumbo 2011-05-21 10:38:31

+0

第二個問題的答案是[here]（http://bit.ly/lwwdUV）。 – Gumbo 2011-05-21 10:41:12

A

回答

0

如果您使用AcceptPathInfo或類似的這樣一個URI像/index.php/foo/bar針對/index.php東西，請求/index.php/%22%E3E…可以得到form標籤外的以下數據。

至於第二個問題：click here。

2011-05-21 10:37:36 Gumbo

1

攻擊者如何利用第一種形式的「漏洞」攻擊除自己以外的最終用戶？

攻擊者可以從他控制的網站或他發送的電子郵件中鏈接到您的網站。

2011-05-21 10:37:26 Quentin

相關問題

1. setAttribute（）和XSS
2. 使用PHP_SELF
3. $ SERVER [「PHP_SELF」]雙值
4. PHP_SELF不等於
5. PHP_SELF不工作
6. htmlspecialchars（$ _ SERVER ['PHP_SELF']）
7. 跳過「PHP_SELF」
8. XSS和CSRF改進
9. $ _ SERVER [ 'PHP_SELF']問題與
10. JSF SelectItems和轉義（xss）
11. Ruby on Rails和XSS預防
12. XSS域名和子域
13. 支付網關和XSS
14. AJAX XSS攻擊和.Net MVC
15. 存儲的xss和反映的xss有什麼區別？
16. xss clean和全局xss過濾的區別
17. 持久性XSS和存儲XSS是EXACLY是否一樣？
18. 計$ _SERVER [ 「PHP_SELF」]漏洞利用
19. PHP_SELF問題表單提交
20. 如何保護$ _SERVER ['PHP_SELF']？
21. 哪個更安全？ PHP_SELF或「」
22. 未定義指數$ _ POST PHP_SELF
23. 過濾PHP的$ _SERVER ['PHP_SELF']
24. $ _SERVER ['PHP_SELF']不起作用？
25. 聯繫表格中的JQuery地址和PHP_SELF
26. 功能PHP防止SQL注入和XSS
27. Codeigniter xss過濾和url鏈接
28. GWT SafeHTML，XSS和最佳實踐
29. 令牌認證和XSRF/XSS保護
30. PHP表單驗證和XSS安全