Problema di sicurezza con l'azione modulo $ _SERVER ['PHP_SELF']

1

Ho letto che esiste un potenziale problema di sicurezza con forme come questa (azione $_SERVER['PHP_SELF'] )

<form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post">
    <input type="text" name="search">
    <input type="submit" value="Suchen">
</form>

Qualcuno potrebbe spiegare come questo potrebbe essere manipolato? Questo potrebbe in qualche modo trasformarsi in un problema di sicurezza? Io personalmente uso $_SERVER['REQUEST_URI']; come azione per le azioni modulo sulla stessa pagina.

    
posta Top Questions 12.03.2015 - 10:16
fonte

1 risposta

2

Pensa al seguente:


    http://www.example.com/foo.php/">script>alert('hello');/script>

Carica comunque la tua pagina ma la include anche all'interno dell'output.


    form method="POST" action="/foo.php/">alert('hello');/script>">
        
    /form>

    
risposta data 12.03.2015 - 13:59
fonte

Leggi altre domande sui tag