PHP 使用 $_SERVER['PHP_SELF'] 获取当前页面地址及其安全性问题

最新推荐文章于 2022-04-18 13:15:50 发布
最新推荐文章于 2022-04-18 13:15:50 发布
阅读量621 收藏
点赞数
分类专栏: PHP 文章标签: php server 安全 程序员 url

PHP $_SERVER['PHP_SELF']

$_SERVER['PHP_SELF'] 表示当前 php 文件相对于网站根目录的位置地址,与 document root 相关。

假设我们有如下网址,$_SERVER['PHP_SELF']得到的结果分别为:

http://www.5idev.com/php/ :/php/index.php
http://www.5idev.com/php/index.php :/php/index.php
http://www.5idev.com/php/index.php?test=foo :/php/index.php
http://www.5idev.com/php/index.php/test/foo :/php/index.php/test/foo

因此,可以使用 $_SERVER['PHP_SELF'] 很方便的获取当前页面的地址:

$url = "http://".$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF'];

以上面的地址为例,得到的结果如下:

http://www.5idev.com/php/index.php

上面是简单获取 http 协议的当前页面 URL ,只是要注意该地址是不包含 URL 中请求的参数(?及后面的字串)的。如果希望得到包含请求参数的完整 URL 地址,请使用 $_SERVER['REQUEST_URI'] 。

PHP $_SERVER['PHP_SELF'] 安全性

由于利用 $_SERVER['PHP_SELF'] 可以很方便的获取当前页面地址,因此一些程序员在提交表单数据到当前页面进行处理时,往往喜欢使用如下这种方式:

<form method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">

假设该页面地址为:

http://www.5idev.com/php/index.php

访问该页面,得到的表单 html 代码如下:

<form method="post" action="/php/index.php">

这段代码是正确的,但是当访问地址变成:

http://www.5idev.com/php/index.php/test/foo

页面正常执行了,表单 html 代码变成:

<form method="post" action="/php/index.php/test/foo">

显然这段代码不是我们期望的,攻击者可以在 URL 后面随意加上攻击代码。要解决该问题,可以:

  1. 使用 htmlentities($_SERVER['PHP_SELF']) 替代 $_SERVER['PHP_SELF'],让 URL 中可能的恶意代码转换为用于显示的 html 代码而无法执行。
  2. 可以的条件下,使用 $_SERVER['SCRIPT_NAME'] 或 $_SERVER['REQUEST_URI'] 替代 $_SERVER['PHP_SELF']
  3. 在公共代码里将 $_SERVER['PHP_SELF'] 进行重写:
$phpfile = basename(__FILE__);
$_SERVER['PHP_SELF'] = substr($_SERVER['PHP_SELF'], 0, strpos($_SERVER['PHP_SELF'], $phpfile)).$phpfile;
aspyyloon
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php中$_SERVER[PHP_SELF] 和 $_SERVER[SCRIPT_NAME]之间的区别
10-29
php中$_SERVER[PHP_SELF] 和 $_SERVER[SCRIPT_NAME]之间的区别
php__self,PHP中 $_SERVER[“PHP_SELF”] 作用和含义
weixin_29600985的博客
03-11 1865
Posted by 撒得一地 on 2016年11月4日 in PHP笔记首先 $_SERVER 数组在 PHP 中是一个全局数组,所以,在任意一个 PHP 脚本中都可以使用 $_SERVER 数组中的值。在函数或方法中无需执行 global $variable; 就可以访问它们。$_SERVER 中存储了包括头信息,路径,脚本位置等,感兴趣的可以打印出来看下:echo '';print_r($_...
PHP $_SERVER[’PHP_SELF’]
热门推荐
flyhawk007blog的专栏
06-02 3万+
REQUEST_URI 返回的是包括后面数据串的地址,如 index.php?str=1234 PHP_SELF 是 index.php --------------------------------------------------------------------------------$_SERVER[’PHP_SELF’]在开发的时候常会用到,一般用来引用当前网页地址,并且它是系统自
$_server['php_self'] 漏洞,PHP的$_SERVER['PHP_SELF']造成的XSS漏洞攻击及其解决方案
weixin_35516273的博客
04-14 1042
$_SERVER[‘PHP_SELF‘]简介$_SERVER[‘PHP_SELF‘] 表示当前 PHP文件相对于网站根目录的位置地址,与 document root 相关。假设我们有如下网址,$_SERVER[‘PHP_SELF‘]得到的结果分别为:http://www.php-note.com/php/ : /php/test.phphttp://www.php-note.com/ph...
php functions: htmlentities($_SERVER['PHP_SELF'])
KOBE1288的专栏
03-21 775
PHP 使用 $_SERVER['PHP_SELF'] 获取当前页面地址及其安全性问题 PHP $_SERVER['PHP_SELF'] $_SERVER['PHP_SELF'] 表示当前 php 文件相对于网站根目录的位置地址,与 document root 相关。 假设我们有如下网址,$_SERVER['PHP_SELF']得到的结果分别为: http://www.5idev.com/
PHP获取路径和目录方法总结
cd_0227的博客
01-18 630
PHP获取目录和的方法通过魔术变量;通过超级全局变量;通过相关函数等等: php/*** PHP获取路径或目录实现* @link http://www.phpddt.com*/ //魔术变量,获取当前文件的绝对路径echo "__FILE__: ========> ".__FILE__;echo ''; //魔术变量,获取当前脚本的目录echo "__DIR__: ========> "._
PHP中$_SERVER的详细参数与说明介绍
01-20
$_SERVER[‘PHP_SELF’] #当前正在执行脚本的文件名,与 document root相关。 $_SERVER[‘argv’] #传递给该脚本的参数。 $_SERVER[‘argc’] #包含传递给程序的命令行参数的个数(如果运行在命令行模式)。 $_...
php $_SERVER当前完整url的写法
12-18
复制代码 代码如下:“http://”.$_SERVER [‘HTTP_HOST’].$_SERVER[‘PHP_SELF’].”?”.$_SERVER[‘QUERY_STRING’]; php server函数 大全SERVER[“HTTP_ACCEPT”]=*/* $_SERVER[“HTTP_REFERER”]=...
php $_SERVER[REQUEST_URI]获取值的通用解决方法
12-18
php // 说明:获取 _SERVER[‘REQUEST_URI’] 值的通用解决方案 function request_uri() { if (isset($_SERVER[‘REQUEST_URI’])) { $uri = $_SERVER[‘REQUEST_URI’]; } else { if (isset($_SERVER[‘argv’])) {...
Easyp 题后总结
m0_62422842的博客
04-18 452
做这题时遇见了新的函数和新的绕过,再次总结一下。 看一下题内代码 <?php include 'utils.php'; if (isset($_POST['guess'])) { $guess = (string) $_POST['guess']; if ($guess === $secret) { $message = 'Congratulations! The flag is: ' . $flag; } else { $message
PHP中$_SERVER获取当前页面的完整URL地址
sunsineq的专栏
11-28 1006
PHP中$_SERVER获取当前页面的完整URL地址,其实很简单,主要是通过$_SERVER超全局变量来实现的。 具体PHP中$_SERVER获取当前页面的完整URL地址如下。 #测试网址: http://www.zizaiyou.cn /blog/testurl.php?id=5 //获取域名或主机地址 echo $_SERVER['HTTP_HOST']." "; #localhost //获取网页地址 echo $_SERVER['PHP_SELF']." "; #/blog/testurl....
php通过$_SERVER获取当前页面完整URL地址
Smile余温
04-05 3974
使用PHP编写程序的时候,我们常常想要获取当前页面URL。下面提供一个用于获取当前页面URL的函数以及使用方法: 示例一: <?php // 说明:获取完整URL function curPageURL() { $pageURL = 'http'; if ($_SERVER["HTTPS"] == "on") { $pageURL .= "s"; }
php $_SERVER获取当前页面地址和上一步的地址
qq_41399976的博客
07-10 711
$_SERVER[‘HTTP_REFERER’] //可以得到上一页的地址 $_SERVER[PHP_SELF] //得到当前页面地址 SERVER[&quot;HTTPHOST&quot;]._SERVER[&quot;HTTP_HOST&quot;].S​ERVER["HTTPH​OST"]._SERVER[“PHP_SELF”]."?".$_SERVER[“Q...
解决$_SERVER['PHP_SELF']代码注入问题
qq_30908729的博客
12-30 734
$_SERVER['PHP_SELF']和htmlentities结合使用解决代码注入 解决方法: 解决$_SERVER[’PHP_SELF’]的安全隐患,主要有以下2种方式: 1、htmlentities :http://www.yayihouse.com/yayishuwu/ch​apter/1755...
PHP的$_SERVER['PHP_SELF']造成的XSS漏洞攻击及其解决方案
weixin_34038293的博客
07-14 195
$_SERVER['PHP_SELF']简介 $_SERVER['PHP_SELF'] 表示当前 PHP文件相对于网站根目录的位置地址,与 document root 相关。 假设我们有如下网址,$_SERVER['PHP_SELF']得到的结果分别为: http://52php.cnblogs.com/php/    :   /php/test.php http://52php.cn...
php的服务器变量$SERVER以及防止$_SERVER['PHP_SELF']造成的XSS漏洞攻击及其解决方案
铁柱的博客
06-04 2949
一、背景 &amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;突然想起来之前面试的一些面试题,让我写出几个服务器变量$SERVER代表的意思。。实话实说,这些东西已经忘记很久了,都是用的时候直接上网查,今天再复习复习吧。 二、$SERVER &amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp
解决在nginx+php环境下$_SERVER['PHP_SELF']获取不到值的问题
wangpeng52758的博客
01-23 4706
 公司做的项目是个商城项目,当我把项目git到本地,然后配置完参数,本来应该可以跑起来的,可是呢,奇怪的问题出现了。 在某些情况下,在路路径中总是出现".php"后缀,但是没有文件名,这当然会报错了。然后就开始追踪代码,从url()函数追踪到u()函数,__APP__常亮,最后追踪到ThinkPHP.php文件,然后调试,发现$_SERVER['PHP_SELF']的值是空,但是同事的都可以,觉...
$_SERVER['PHP_SELF']漏洞知多少
精彩人生
06-18 3636
$_SERVER['PHP_SELF']是PHP语言中的“服务器端系统变量”,它的值是“当前php文件相对于网站根目录的位置地址”。举例说明,如果在http://www.shuihan.com/output/html/data.php文件中使用$_SERVER['PHP_SELF'],代码如下: 1echo $_SERVER['PHP_SELF']; 则在浏览器中打开该页输出为: /ou
PHP $_SERVER['PHP_SELF']、$_SERVER['SCRIPT_NAME'] 与 $_SERVER['REQUEST_URI'] 之间的区别
jnucross的专栏
11-05 484
转载于:http://www.5idev.com/p-php_server_php_self_script_name_request_uri.shtml $_SERVER['PHP_SELF']、$_SERVER['SCRIPT_NAME'] 与 $_SERVER['REQUEST_URI'] 三者非常相似,返回的都是与当前 URLPHP 程序文件相关的信息: $_SERVE
if($i == 8){ $result = mysqli_query($mysql,"insert into ".$_POST['db_prefix']."user(userid,pwd,email,limits) values('".$_POST['userid']."','".md5($_POST['pwd'])."','".$_POST['email']."','1')"); if($result){ //创建项目的配置文件 $config ="<?php return array( 'DB_TYPE' => 'mysql' , // 数据库类型 'DB_HOST' => '".$_POST['db_host']."', // 服务器地址 'DB_NAME' => '".$_POST['db_name']."', // 数据库名 'DB_USER' => '".$_POST['db_user']."', // 账号 'DB_PWD' => '".$_POST['db_pwd']."', // 密码 'DB_PORT' => 3306, // 端口 'DB_PREFIX' => '".$_POST['db_prefix']."', // 数据库表前缀 'DB_CHARSET' => '".$_POST['db_charset']."', // 数据库字符集 'URL' => __ROOT__.'/24hours/Admin/Public/', //引入文件路径 //邮箱 'MAIL_CHARSET' => 'UTF-8', //编码 'MAIL_AUTH' => true, //邮箱认证 'MAIL_HTML' => true, //true HTML格式 false TXT格式 );"; $fp = fopen('../24hours/Admin/Conf/config.php',"w"); $result = fwrite($fp, $config); if($result){ $url = explode('/', $_SERVER['PHP_SELF']); echo "<script>alert('安装成功,现在跳转到工单系统的登录页面'); location.href='../';</script>"; } } }
最新发布
06-13
这段代码的作用是在执行完一系列SQL语句后,根据$i的值来...在实际应用中,应该对用户输入的数据进行安全性检查和过滤,避免安全问题的发生。同时,创建项目的配置文件也需要注意文件路径安全性,避免敏感信息泄露。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值