首頁猿問哪些$ _SERVER變量是安全的？

哪些$ _SERVER變量是安全的？

PHP 安全

SMILET 2019-10-05 14:17:08

用戶可以控制的任何變量，攻擊者也可以控制，因此是攻擊的源頭。這稱為“污染”變量，并且不安全。使用時$_SERVER，可以控制許多變量。PHP_SELF，HTTP_USER_AGENT，HTTP_X_FORWARDED_FOR，HTTP_ACCEPT_LANGUAGE和許多其它的是由客戶端發(fā)送的HTTP請求報頭的一部分。有人知道“安全列表”或$_SERVER變量列表嗎？用戶可以控制的任何變量，攻擊者也可以控制，因此是攻擊的源頭。這稱為“污染”變量，并且不安全。使用時$_SERVER，可以控制許多變量。PHP_SELF，HTTP_USER_AGENT，HTTP_X_FORWARDED_FOR，HTTP_ACCEPT_LANGUAGE和許多其它的是由客戶端發(fā)送的HTTP請求報頭的一部分。有人知道“安全列表”或$_SERVER變量列表嗎？

查看完整描述

4 回答

慕慕森

TA貢獻1856條經(jīng)驗獲得超17個贊

在PHP中，每個以$_SERVER開頭的變量HTTP_都會受到用戶的影響。例如，$_SERVER['HTTP_REINERS']可以通過將HTTP標頭設置REINERS為HTTP請求中的任意值來污染變量。

反對回復 2019-10-05

蝴蝶刀刀

TA貢獻1801條經(jīng)驗獲得超8個贊

溝通不暢。正如deceze所暗示的那樣，“出于什么目的是安全的”。正如我所暗示的，您的用途未知，此外，還有其他一些未記錄的$_SERVER值，具體取決于文件的提供方式。我認為，有記錄的文獻并沒有闡明真正的來源。否則，我相信您不會問這個問題。很高興您有可以使用的清單。但是我仍然建議您提交錯誤報告（在錯誤網(wǎng)站已修復的情況下），向文檔維護者發(fā)送電子郵件或自行更新文檔（如果您不知道鏈接）。知道此信息將使社區(qū)受益。

反對回復 2019-10-05