PHP max_input_vars aspettative di sicurezza

3

Considerando un sito che gestisce dati di POST elevati, sarebbe irragionevole e pericoloso impostare php.ini max_input_vars su qualcosa come 100000?

So che questo è un vettore per gli attacchi DOS, ma non altre configurazioni come post_max_size aiutano a impedirlo? Esistono modi per salvaguardare le collisioni di hash pur avendo max_input_vars impostato su un valore elevato?

Altre considerazioni potrebbero essere l'effetto su GET e cookie. Qualcuno può spiegare le conseguenze di questa configurazione e degli exploit coinvolti?

    
posta Travis 31.12.2014 - 17:50
fonte

1 risposta

3

La vulnerabilità riguarda le collisioni di hash e non è necessaria sulla dimensione della richiesta.

Quindi sì, impostare la direttiva su un valore più elevato non è probabilmente un'idea intelligente (anche quando si limita post_max_size o una qualsiasi delle altre direttive correlate).

Inoltre, se devi impostarlo su qualcosa come 100000 dovresti davvero riconsiderare ciò che stai facendo nella maggior parte dei casi.

    
risposta data 31.12.2014 - 17:52
fonte