PHP如何避免 $_SERVER["PHP_SELF"] 被黑客利用

最新推荐文章于 2021-03-29 06:16:01 发布
最新推荐文章于 2021-03-29 06:16:01 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: php 文章标签: _SERVERPHP_SELF

$_SERVER["PHP_SELF"]是超级全局变量,返回当前正在执行脚本的文件名,与 document root相关。

当黑客使用跨网站脚本的HTTP链接来攻击时,$_SERVER["PHP_SELF"]服务器变量也会被植入脚本。原因就是跨网站脚本是附在执行文件的路径后面的,因此$_SERVER["PHP_SELF"]的字符串就会包含HTTP链接后面的JavaScript程序代码。

如何避免:

$_SERVER["PHP_SELF"] 可以通过 htmlspecialchars() 函数来避免被利用。

htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。

& (和号) 成为 &

" (双引号) 成为 "

' (单引号) 成为 '

< (小于) 成为 <

> (大于) 成为 >



例子:

if ($_SERVER["REQUEST_METHOD"] == "POST")

{

if (empty($_POST["name"]))  //空值处理

{

$nameErr = "名字是必须的";

}

else

{

$name = myInput($_POST["name"]);

}

//接收数据并处理和赋值

$email = myInput($_POST["email"]);

$website = myInput($_POST["website"]);

$comment = myInput($_POST["comment"]);

$gender = myInput($_POST["gender"]);

}

//处理数据

function myInput($data)

{

$newData = trim($data);  //去除空格和换行

$newData = stripslashes($data); //去除反斜杠

$newData = htmlspecialchars($data);  //转义函数

return $newData; 

}

然后就OK啦,感觉萌萌哒(懵懵哒)~

悠悠倾我心
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
$_server['php_self'] 漏洞,PHP的$_SERVER['PHP_SELF']造成的XSS漏洞攻击及其解决方案
weixin_35516273的博客
04-14 1125
$_SERVER[‘PHP_SELF‘]简介$_SERVER[‘PHP_SELF‘] 表示当前 PHP文件相对于网站根目录的位置地址,与 document root 相关。假设我们有如下网址,$_SERVER[‘PHP_SELF‘]得到的结果分别为:http://www.php-note.com/php/ : /php/test.phphttp://www.php-note.com/ph...
JaPHPh:又一个 PHP 黑客
06-25
杰夫 只是另一个 PHP 黑客。 执照 版权所有 (C) 2012 Christian Mayer 该程序是免费软件:您可以根据自由软件基金会发布的 GNU 通用公共许可证(许可证的第 3 版或(由您选择)任何更高版本)的条款重新分发和/或修改它。 分发此程序是希望它有用,但不作任何保证; 甚至没有对适销性或针对特定目的的适用性的暗示保证。 有关更多详细信息,请参阅 GNU 通用公共许可证。 您应该已经收到一份 GNU 通用公共许可证以及该程序。 如果没有,请参阅 。
如何避免 $_SERVER["PHP_SELF"] 被利用
weixin_30666943的博客
12-23 54
转载于:https://www.cnblogs.com/youyuanjuyou/p/8088976.html
server php self_PHP 使用 $_SERVER['PHP_SELF'] 获取当前页面地址及其安全性问题
weixin_29190651的博客
03-09 232
PHP$_SERVER['PHP_SELF']$_SERVER['PHP_SELF']表示当前php文件相对于网站根目录的位置地址,与documentroot相关。假设我们有如下网址,$_SERVER['PHP_SELF']得到的结果分别为:http://www.5idev.com/php/:/php/index.phphttp://www.5idev.com/php/index....
PHP_SELF变量解析和重复路径解决
weixin_33725807的博客
02-21 133
最近升级PHPPHP7版本,并重新部署了新的Nginx,启动的时候发现了一个问题,全局变量$_SERVER['PHP_SELF']的值发生了改变,从而影响到代码的功能。因此我们来了解下$_SERVER全局变量中的PHP_SELF/PATH_INFO/SCRIPT_NAME等参数以及其关系。 CGI 1.1规范 之前的文章 [ php-...
php中$_SERVER[PHP_SELF] 和 $_SERVER[SCRIPT_NAME]之间的区别
10-29
### PHP中$_SERVER['PHP_SELF']与$_SERVER['SCRIPT_NAME']的区别详解 #### 一、概述 在PHP开发过程中,经常需要获取当前脚本的信息,包括脚本的名称及其路径等。为此,PHP提供了多种预定义变量来实现这一功能,...
php几个预定义变量$_SERVER用法小结
10-25
它是`$_SERVER['PHP_SELF']`和`$_SERVER['DOCUMENT_ROOT']`的组合,提供了服务器上实际文件的位置。例如,如果`PHP_SELF`是`/scripts/index.php`,且`DOCUMENT_ROOT`是`/var/www/html`,`$_SERVER['SCRIPT_FILENAME'...
PHP中$_SERVER的详细参数与说明介绍
01-20
$_SERVER[‘PHP_SELF’] #当前正在执行脚本的文件名,与 document root相关。 $_SERVER[‘argv’] #传递给该脚本的参数。 $_SERVER[‘argc’] #包含传递给程序的命令行参数的个数(如果运行在命令行模式)。 $_...
php $_SERVER当前完整url的写法
10-29
本文将详细介绍如何利用`$_SERVER`超全局变量来构建完整的URL,并对`$_SERVER`中的部分常用变量进行解释。 #### 一、获取当前完整URL的写法 要获取当前页面的完整URL,可以通过组合`$_SERVER`数组中的几个关键元素...
PHP表单验证之$_SERVER[“PHP_SELF“] 变量
Yoo_666的博客
08-05 2485
文章目录前言$_SERVER["PHP_SELF"] 变量定义利用防御htmlspecialchars() 函数 前言 近来在复习PHP的知识,,在php表单验证这块遇到了之前学习的htmlspecialchars() 函数,并且也从理论上理解了htmlspecialchars()函数的作用,及xss攻击形成的原因 $_SERVER[“PHP_SELF”] 变量 定义 $_SERVER[“PHP_SELF”] 是一种超全局变量,它返回当前执行脚本的文件名 $_SERVER[“PHP_SELF”] 将表单数
$PHP_SELF
happyjiahan的专栏
11-27 4969
<br />变量$PHP_SELFphp的内置变量,是PHP中一个很方便的指针,其变量值就是当前页面的URL地址。 <br />【语法】$php_self?变量1=值&变量2=值&变量3=值<br /> 我们使用$PHP_SELF变量而不使用页面的实际地址,是因为通过使用$PHP_SELF变量,我们可以方便对编写的页面代码进行修改和移动,而不必担心在每次改动之后重新输入新的页面地址。<br /> 另外,在使用$PHP_SELF变量时,我们采用了如下方式:<br /><br /> global $PH
PHP_SELF 应用初步
WEBCODE
10-07 152
PHP_SELF 应用初步(2007-08-08 09:43) 转载:http://blog.chinaunix.net/space.php?uid=8337682&amp;do=blog&amp;cuid=355832 php_selfphp的内置变量,记作$php_self,其作用是实现“页内跳转”。这里的页内跳转不同等于html的书签之类的跳转...
php的服务器变量$SERVER以及防止$_SERVER['PHP_SELF']造成的XSS漏洞攻击及其解决方案
铁柱的博客
06-04 3042
一、背景 &amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;突然想起来之前面试的一些面试题,让我写出几个服务器变量$SERVER代表的意思。。实话实说,这些东西已经忘记很久了,都是用的时候直接上网查,今天再复习复习吧。 二、$SERVER &amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp
PHP $_SERVER[’PHP_SELF’]
热门推荐
flyhawk007blog的专栏
06-02 3万+
REQUEST_URI 返回的是包括后面数据串的地址,如 index.php?str=1234 PHP_SELF 是 index.php --------------------------------------------------------------------------------$_SERVER[’PHP_SELF’]在开发的时候常会用到,一般用来引用当前网页地址,并且它是系统自
php__self,有关php函数PHP_SELF的用法解析
weixin_39617252的博客
03-11 1496
php_selfphp的内置变量,记作$php_self,它可以实现页内跳转。$php_self实现的页内跳转,不同于html的书签之类的跳转,而是php程序通过URL的尾参数的改变在同一个程序里提供不同的Web内容。试比较以下两个URL:http://www.jbxue.com/pc/index.phphttp://www.jbxue.com/pc/index.php?page=2以上两个UR...
php怎么开启%3c%3e,PHP中的$_SERVER(PHP_SELF)
weixin_36432875的博客
03-29 337
复习PHP表单时,在教程中看到这个问题,然后了解一下。先来说说这个超级全局变量吧其实我觉得这个变量还蛮有意思的。$_SERVER[“PHP_SELF”]是超级全局变量,返回当前正在执行脚本的文件名,与 document root相关。所谓 document root 就是apache服务器网页(文档)根目录既然说到这个,那就补充一个知识点1234567891011documentroot 和dir...
怎么绕过PHP的防护,绕过某CDN的防注入简单技巧(绕过360webscan)
weixin_42154650的博客
03-18 395
昨天几个朋友聊到了某个cms里用的360webscan脚本,问我怎么绕过。其实之前一直没有研究过正则的绕过,当然这次也不是正则的绕过,但最终目的是达到了,全面绕过了360webscan对于注入与xss的防护。使用360webscan的一大cms就是cmseasy,我们就借用cmseasy中的360webscan来说明。其中有一个白名单函数:/*** 拦截目录白名单*/function websc...
php的安全(黑客技术)
shao.bing的专栏
06-18 2230
1.字符串操作 (1)对于输入的字符串来说,某些字符肯定是有效的。但是对于我们黑客来说,就是要往里面输入一些具有特殊功能的字符。但是PHP为了防止用户输入的数据具有某个功能,提供了转义字符串函数。这些转义字符串函数将字符串转义就是在她们前面加上一个反斜杠。例如,“(双引号)就边
php__self,phpself关键字的用法是什么
weixin_39650139的博客
03-11 56
phpself关键字的用法是:1、替代类名,引用当前类的静态成员变量和静态函数;2、抑制多态行为,引用当前类的函数而非子类中覆盖的实现。self总是指向当前类(及类实例)。用法:self总是指向“当前类(及类实例)”。详细介绍:1、替代类名,引用当前类的静态成员变量和静态函数;2、抑制多态行为,引用当前类的函数而非子类中覆盖的实现;下面我们通过实例来与 parent 、 static 以及 th...
if(basename($_SERVER['PHP_SELF']) == basename(__FILE__)) return;有什么用
最新发布
05-30
`basename($_SERVER['PHP_SELF'])`可以获取当前脚本的文件名,`basename(__FILE__)`可以获取当前文件的文件名。如果这两个文件名相等,那么说明当前脚本是直接被访问的,而不是被包含或引用的。因此,通过判断这两个...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值