HOME > PHP > $_SERVER['PHP_SELF']に脆弱性あり

$_SERVER['PHP_SELF']に脆弱性あり

2013/11/19 2014/05/19 PHP

formのaction属性とかページングのリンクとかで、

と使ったりするけど脆弱性があるらしい。

■ソース
<html>
<head>
</head>
<body>
<form action='<?=$_SERVER["PHP_SELF"];?>' method="post">
<input type="button" value="button">
</form>
</body>
</html>

http://aaa.com/index.phpに上記を記述したとして、
「http://aaa.com/index.php/'><script>alert(1);</script>'」
というURLを叩くとブラウザによってはアラートが出てしまう。

どうも$_SERVER["PHP_SELF"]はクエリも取得されてしまうっぽい。

__FILE__か$_SERVER["SCRIPT_NAME"]で使うようにする。

■参考サイト
http://d.hatena.ne.jp/geek-it/20120229/p1

- PHP

: PHPからWebAPI(screendot)経由で他サイトのスクリーンショットを取得する方法

PHPで他サイトのスクリーンショットを取得したい。今回はライブラリは無しで実現し ...

: PHPで土日祝日及び営業時間を考慮した上で翌○営業日を計算する方法

PHPで翌○営業日を計算したい。例えば本日が2021/04/15で翌5営業日を計 ...

: PHPとPAY.JPを用いてサイト内にクレカ決済及びキャンセル機能を実装する方法

先日PHPとStripeを用いてサイト内にクレカ決済及びキャンセル機能を実装する ...

: PHPでフォーム送信の際に禁止ワードのチェック及び制限をかける方法

掲示板等のformを送信する際に特定の禁止ワードが含まれていないかチェックするプ ...

: PhpSpreadsheetで作成したエクセルファイルをPDFファイルに変換する方法

以前にPhpSpreadsheetでフォーマット用のエクセルを読み込み、指定した ...

$_SERVER['PHP_SELF']に脆弱性あり

関連記事

PHPからWebAPI(screendot)経由で他サイトのスクリーンショットを取得する方法

PHPで土日祝日及び営業時間を考慮した上で翌○営業日を計算する方法

PHPとPAY.JPを用いてサイト内にクレカ決済及びキャンセル機能を実装する方法

PHPでフォーム送信の際に禁止ワードのチェック及び制限をかける方法

PhpSpreadsheetで作成したエクセルファイルをPDFファイルに変換する方法

タグ