HOME > PHP > $_SERVER['PHP_SELF']に脆弱性あり

$_SERVER['PHP_SELF']に脆弱性あり

2013/11/19 2014/05/19 PHP

formのaction属性とかページングのリンクとかで、

と使ったりするけど脆弱性があるらしい。

■ソース
<html>
<head>
</head>
<body>
<form action='<?=$_SERVER["PHP_SELF"];?>' method="post">
<input type="button" value="button">
</form>
</body>
</html>

http://aaa.com/index.phpに上記を記述したとして、
「http://aaa.com/index.php/'><script>alert(1);</script>'」
というURLを叩くとブラウザによってはアラートが出てしまう。

どうも$_SERVER["PHP_SELF"]はクエリも取得されてしまうっぽい。

__FILE__か$_SERVER["SCRIPT_NAME"]で使うようにする。

■参考サイト
http://d.hatena.ne.jp/geek-it/20120229/p1

- PHP

: PHPでCSVファイルを出力する際に「①」や「㈱」等の環境依存文字が文字化けする対応方法

過去記事の方法を用いてPHPでCSVファイルを出力すると所々「?」という形に文字 ...

: PHPで「operator not supported for strings」エラーの対応方法

PHPにて「Fatal error: [] operator not suppo ...

: composerでライブラリのインストールとインストール時のエラー対応方法

composerでライブラリをインストールする際に「The following ...

: PHPでjpg / png画像をAVIF形式の画像に変換する方法

PHPでjpg / png画像をAVIF形式の画像に変換しサーバに保存したい。W ...

: 【2025年版】PHPとStripeを用いてサイト内にクレカ決済及びキャンセル機能を実装する方法

5年ほど前にPHPとStripeを用いたクレカ決済機能をテスト実装したが最近試し ...

$_SERVER['PHP_SELF']に脆弱性あり

関連記事

PHPでCSVファイルを出力する際に「①」や「㈱」等の環境依存文字が文字化けする対応方法

PHPで「operator not supported for strings」エラーの対応方法

composerでライブラリのインストールとインストール時のエラー対応方法

PHPでjpg / png画像をAVIF形式の画像に変換する方法

【2025年版】PHPとStripeを用いてサイト内にクレカ決済及びキャンセル機能を実装する方法

タグ