首頁猿問哪些$ _SERVER變量是安全的？

哪些$ _SERVER變量是安全的？

PHP 安全

SMILET 2019-10-05 14:17:08

用戶可以控制的任何變量，攻擊者也可以控制，因此是攻擊的源頭。這稱為“污染”變量，并且不安全。使用時(shí)$_SERVER，可以控制許多變量。PHP_SELF，HTTP_USER_AGENT，HTTP_X_FORWARDED_FOR，HTTP_ACCEPT_LANGUAGE和許多其它的是由客戶端發(fā)送的HTTP請求報(bào)頭的一部分。有人知道“安全列表”或$_SERVER變量列表嗎？用戶可以控制的任何變量，攻擊者也可以控制，因此是攻擊的源頭。這稱為“污染”變量，并且不安全。使用時(shí)$_SERVER，可以控制許多變量。PHP_SELF，HTTP_USER_AGENT，HTTP_X_FORWARDED_FOR，HTTP_ACCEPT_LANGUAGE和許多其它的是由客戶端發(fā)送的HTTP請求報(bào)頭的一部分。有人知道“安全列表”或$_SERVER變量列表嗎？

查看完整描述

4 回答

慕慕森

TA貢獻(xiàn)1856條經(jīng)驗(yàn) 獲得超17個(gè)贊

在PHP中，每個(gè)以$_SERVER開頭的變量HTTP_都會受到用戶的影響。例如，$_SERVER['HTTP_REINERS']可以通過將HTTP標(biāo)頭設(shè)置REINERS為HTTP請求中的任意值來污染變量。

反對回復(fù) 2019-10-05

蝴蝶刀刀

TA貢獻(xiàn)1801條經(jīng)驗(yàn) 獲得超8個(gè)贊

溝通不暢。正如deceze所暗示的那樣，“出于什么目的是安全的”。正如我所暗示的，您的用途未知，此外，還有其他一些未記錄的$_SERVER值，具體取決于文件的提供方式。我認(rèn)為，有記錄的文獻(xiàn)并沒有闡明真正的來源。否則，我相信您不會問這個(gè)問題。很高興您有可以使用的清單。但是我仍然建議您提交錯(cuò)誤報(bào)告（在錯(cuò)誤網(wǎng)站已修復(fù)的情況下），向文檔維護(hù)者發(fā)送電子郵件或自行更新文檔（如果您不知道鏈接）。知道此信息將使社區(qū)受益。

反對回復(fù) 2019-10-05