php的服务器变量$SERVER以及防止$_SERVER['PHP_SELF']造成的XSS漏洞攻击及其解决方案

最新推荐文章于 2022-08-25 14:50:11 发布
最新推荐文章于 2022-08-25 14:50:11 发布
阅读量3k 收藏 2
点赞数 2
分类专栏: php日常bug 文章标签: php 服务器变量 $server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJFPHP/article/details/80568250
版权

一、背景

      突然想起来之前面试的一些面试题,让我写出几个服务器变量$SERVER代表的意思。。实话实说,这些东西已经忘记很久了,都是用的时候直接上网查,今天再复习复习吧。

二、$SERVER

      $_SERVER 是一个包含诸如头信息(header)、路径(path)和脚本位置(script locations)的数组。它是 PHP 中一个超级全局变量,我们可以在 PHP 程序的任何地方直接访问它。

1、$SERVER包含的参数

#测试网址:     http://localhost/blog/testurl.php?id=5

//获取域名或主机地址 
echo $_SERVER['HTTP_HOST']."<br>"; #localhost

//获取网页地址 
echo $_SERVER['PHP_SELF']."<br>"; #/blog/testurl.php

//获取网址参数 
echo $_SERVER["QUERY_STRING"]."<br>"; #id=5

//获取用户代理 
echo $_SERVER['HTTP_REFERER']."<br>"; 

//获取完整的url
echo 'http://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
echo 'http://'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF'].'?'.$_SERVER['QUERY_STRING'];
#http://localhost/blog/testurl.php?id=5

//包含端口号的完整url
echo 'http://'.$_SERVER['SERVER_NAME'].':'.$_SERVER["SERVER_PORT"].$_SERVER["REQUEST_URI"]; 
#http://localhost:80/blog/testurl.php?id=5

//只取路径
$url='http://'.$_SERVER['SERVER_NAME'].$_SERVER["REQUEST_URI"]; 
echo dirname($url);
#http://localhost/blog
//其他的
$_SERVER['REQUEST_URI']:访问此页面所需的 URI 。 
$_SERVER['SCRIPT_FILENAME']:当前运行 PHP 程序的绝对路径及文件名。 
$_SERVER['argv']:传递给当前 PHP 程序的参数。

以上是一些常用的$SERVER数组。

2、关于 $SERVER[HTTP_HOST]$SERVER[SERVER_NAME ]的区别

这部分具体参考链接:
php $_SERVER中的SERVER_NAME 和HTTP_HOST的区别

当满足以下三个条件时,两者会输出相同信息。
1. 服务器为80端口
2. apache的conf中ServerName设置正确
3. HTTP/1.1协议规范

建议使用$SERVER[‘HTTP_POST’]比较稳定一些

3、关于$_SERVER["REQUEST_URI"]

      之前在网上经常会遇到使用$_SERVER[“REQUEST_URI”] 取不到值的情况,后面才知道,这个变量只有 apache 才支持,如果你使用的是nginx或者其他服务器,需要用其他方式获得

<?php

// 说明:获取 _SERVER['REQUEST_URI'] 值的通用解决方案
// 来源:drupal-5.1 bootstrap.inc
// 整理:CodeBit.cn ( http://www.CodeBit.cn )

function request_uri()
{
    if (isset($_SERVER['REQUEST_URI']))
    {
        $uri = $_SERVER['REQUEST_URI'];
    }
    else
    {
        if (isset($_SERVER['argv']))
        {
            $uri = $_SERVER['PHP_SELF'] .'?'.$_SERVER['argv'][0];
        }
        else
        {
            $uri = $_SERVER['PHP_SELF'] .'?'.$_SERVER['QUERY_STRING'];
        }
    }
    return $uri;
}

?>

三、关于PHP的$_SERVER[‘PHP_SELF’]造成的XSS漏洞攻击及其解决方案

参考链接:
PHP的$_SERVER[‘PHP_SELF’]造成的XSS漏洞攻击及其解决方案

这部分,笔者建议:

1、htmlentities

      用htmlentities($_SERVER['PHP_SELF'])来替代简单的$_SERVER[‘PHP_SELF’],这样即使网址中包含恶意代码,也会被“转换”为用于显示的html代码,而不是被直接嵌入html代码中执行,简单一点说,就是“<”会变成“<”,变成无害的了。

2、REQUEST_URI

      用$_SERVER["REQUEST_URI"]来替代$_SERVER[‘PHP_SELF’],在phpinfo()中可以看到这两个变量的区别:

$_SERVER[”REQUEST_URI”]    :   /fwolf/temp/test.php/%22%3E%3Cscript%3Ealert(’xss’)%3C/script%3E%3Cfoo
$_SERVER[”PHP_SELF”]     :    /fwolf/temp/test.php/”> 

$_SERVER["REQUEST_URI"]会原封不动的反映网址本身,网址中如果有%3C,那么你得到的也将会是%3C,而$ _SERVER['PHP_SELF']会对网址进行一次urldecode操作,网址中的%3C将会变成字符“<”,所以就产生了漏洞。

      需要注意的是,在很多情况下,浏览器会对用户输入要提交给web服务器的内容进行encode,然后服务器端程序会自动进行decode,得到相应的原指,在我们进行post或者get操作的时候都是这样。

end

===============================================================
20180626补充:

php的$server['HTTP_ORIGIN']  
这个参数在出现跨域请求的情况下,会返回请求的域名

我们可以在限制跨域请求的时候,使用该方法,获取访问的域名,如果该域名在我们的允许名单里,则生成一个新的header头

代码如下:

$allow_origin = array(  
            'http://pzhiliao.local',
            'http://miaozhiliao.com',
            'http://lux.xzhiliao.com/',
            'http://svzhiliao.com/',
            'http://www.xl.com/',
            'http://appb.xzl.com:8080',

            'http://appeb.xl.com',
            'http://xu.apweb.xl.com',

        );
        //判断是否存在跨域,获取请求的域名
        $origin = isset($_SERVER['HTTP_ORIGIN'])? $_SERVER['HTTP_ORIGIN'] : '';
        //如果得到的域名在我们的array之内的话,则加个header头,解决跨域问题
        if(in_array($origin, $allow_origin)){  
            header("Access-Control-Allow-Origin:".$origin);
        }
铁柱同学
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
php 自定义server变量,PHP服务器变量$_SERVER详解(我的整理)
weixin_29798865的博客
03-19 866
服务器变量 $_SERVER 详解: php一、$_SESSION['PHP_SELF'] -- 获取当前正在执行脚本的文件名 html二、$_SERVER['SERVER_PROTOCOL'] -- 请求页面时通讯协议的名称和版本。例如,“HTTP/1.0”。 浏览器三、$_SERVER['REQUEST_TIME'] -- 请求开始时的时间戳。从 PHP 5.1.0 起有效。和time函数效果...
php中的SERVER变量
刘阳龙Herman的专栏
09-10 964
<br /><br />,$_SERVER["QUERY_STRING"]<br />说明:查询(query)的字符串<br />2,$_SERVER["REQUEST_URI"]<br />说明:访问此页面所需的URI<br />3,$_SERVER["SCRIPT_NAME"]<br />说明:包含当前脚本的路径<br />4,$_SERVER["PHP_SELF"]<br />说明:当前正在执行脚本的文件名<br />实例:<br />1,http://www.biuuu.com/ (直接打开主页)<
PHP的$_SERVER['PHP_SELF']造成XSS漏洞攻击及其解决方案
weixin_34038293的博客
07-14 206
$_SERVER['PHP_SELF']简介 $_SERVER['PHP_SELF'] 表示当前 PHP文件相对于网站根目录的位置地址,与 document root 相关。 假设我们有如下网址,$_SERVER['PHP_SELF']得到的结果分别为: http://52php.cnblogs.com/php/    :   /php/test.php http://52php.cn...
PHP $_SERVER变量
weixin_34204722的博客
09-25 74
<?php #测试网址: http://localhost/t/test.php?id=5 //获取域名或主机地址 echo $_SERVER['HTTP_HOST']."<br>"; #localhost //获取网页地址 echo $_SERVER['PHP_SELF']."<br>"; #/t/test....
PHP $_SERVER[’PHP_SELF’]
热门推荐
flyhawk007blog的专栏
06-02 3万+
REQUEST_URI 返回的是包括后面数据串的地址,如 index.php?str=1234 PHP_SELF 是 index.php --------------------------------------------------------------------------------$_SERVER[’PHP_SELF’]在开发的时候常会用到,一般用来引用当前网页地址,并且它是系统自
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3165
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
PHP面试题(含答案),持续更新
qq_41469037的博客
08-25 4645
PHP面试题(含答案),持续更新(会有重复)
Cross-SiteScripting(XSS)跨站脚本攻击
打代码的小女孩
01-13 2287
XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。 根据恶意代码是否存储在服务器中,XSS可以分为存储型的XSS与反射型的XSS。 DOM型的XSS由于其特殊性,常常被分为第三...
PHP知识点整理(2)
qq_21736743的博客
05-21 5745
PHP的意思 PHP是一个基于服务端来创建动态网站的脚本语言,您可以用PHP和HTML生成网站主页 什么事面向对象?主要特征是什么? 面向对象是程序的一种设计方式,它利于提高程序的重用性,使程序结构更加清晰。主要特征:封装、继承、多态。 SESSION 与 COOKIE的区别是什么,请从协议,产生的原因与作用说明? 1、http无状态协议,不能区分用户是否是从同一个网站上来的,同一个用户请求不同的页面不能看做是同一个用户。 2、SESSION存储在服务器端,COOKIE保...
PHP 最新精品面试题
weixin_43681591的博客
01-13 2909
1、酒店预订怎么实现?怎么设计表   你好,我大概的说下我们的业务流程,我们的业务流程是:用户在网站浏览酒店信息,可以根据地区检索出该地区的酒店信息。列表展示酒店的信息由:酒店的名称,酒店图片,酒店位置,评论人数,评论分数以及最低入住价格。用户选中要入住的酒店进入酒店详情页面,查看酒店的介绍以及酒店的房型列表,用户根据他要入住的时间和离店的时间,检索出这个时间段内的所有可选房型(房间数量-当天的订...
PHP SEVER预定义变量
weixin_34148340的博客
05-20 147
$_SERVER['PHP_SELF'] #当前正在执行脚本的文件名,与 document root相关。$_SERVER['argv'] #传递给该脚本的参数。$_SERVER['argc'] #包含传递给程序的命令行参数的个数(如果运行在命令行模式)。$_SERVER['GATEWAY_INTERFACE'] #服务器使用的 CGI 规范的版本。例如,“CGI/1.1”。...
$_server['php_self'] 漏洞,PHP的$_SERVER['PHP_SELF']造成XSS漏洞攻击及其解决方案
weixin_35516273的博客
04-14 1127
$_SERVER[‘PHP_SELF‘]简介$_SERVER[‘PHP_SELF‘] 表示当前 PHP文件相对于网站根目录的位置地址,与 document root 相关。假设我们有如下网址,$_SERVER[‘PHP_SELF‘]得到的结果分别为:http://www.php-note.com/php/ : /php/test.phphttp://www.php-note.com/ph...
php__self,PHP中 $_SERVER[“PHP_SELF”] 作用和含义
weixin_29600985的博客
03-11 2100
Posted by 撒得一地 on 2016年11月4日 in PHP笔记首先 $_SERVER 数组在 PHP 中是一个全局数组,所以,在任意一个 PHP 脚本中都可以使用 $_SERVER 数组中的值。在函数或方法中无需执行 global $variable; 就可以访问它们。$_SERVER 中存储了包括头信息,路径,脚本位置等,感兴趣的可以打印出来看下:echo '';print_r($_...
PHP服务器变量(常用几个)
feiyucity的博客
11-15 459
1、$_SESSION['PHP_SELF'] --> 获取当前正在执行脚本的文件名 2、$_SERVER['SERVER_PROTOCOL'] --> 请求页面时通信协议的名称和版本。例如,“HTTP/1.0”。 3、$_SERVER['REQUEST_TIME'] --> 请求开始时的时间戳。从 PHP 5.1.0 起有效。和time函数效果一样。 4、$_SERVE...
PHP服务器变量$_SERVER整理
lmjy102的博客
03-02 596
原文地址: http://blog.163.com/sun_jian_zhang/blog/static/187804041201434105136763/ 今天仔细学习了一下手册关于服务器变量的内容,写个一个笔记,贴出来希望对初学者有帮助。 红色的是我认为比较常用和重要的,蓝色部分是我自己调试后加上的,便于理解。 转载请尊重劳动成果,呵呵,体力活,不好整。 服务器变量 $_SER
PHP服务器变量$_SERVER及其几个函数的使用
dengdeng1222的博客
08-05 157
PHP服务器变量$_SERVER及其几个函数的使用 PHP服务器变量$_SERVER及其几个函数的使用:QUERY_STRING、REQUEST_URI、SCRIPT等1、$_SERVER["QUERY_STRING"]说明:获取的query的字符串2、$_SERVER["REQUEST_URI"]说明:访问地址的页面及页面参数Url3、$_SERVER["SCRIPT_NAME"...
phpserver变量,php的$_SERVER变量常用变量
weixin_35719380的博客
03-19 368
$_SERVER['HTTP_ACCEPT_LANGUAGE']//浏览器语言$_SERVER['REMOTE_ADDR'] //当前用户 IP 。$_SERVER['REMOTE_HOST'] //当前用户主机名$_SERVER['REQUEST_URI'] //此php脚本文件的相对路径$_SERVER['REMOTE_PORT'] //端口。$_SERVER['SERVER_NAME'] /...
PHP:_SERVER变量和_ENV变量列表
Let's Go!
08-21 1010
你可以实用 _SERVER变量和_ENV变量 下面是我的phpinfo中的php变量: _SERVER["SCRIPT_NAME"] /php/index.php _SERVER["HTTP_COOKIE"] cdb_sid=tcSZ7o _SERVER["AUTH_PASSWORD"] no value _SERVER["AUTH_
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

铁柱同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值