第七色在线视频,2021少妇久久久久久久久久,亚洲欧洲精品成人久久av18,亚洲国产精品特色大片观看完整版,孙宇晨将参加特朗普的晚宴

為了賬號安全,請及時綁定郵箱和手機立即綁定
已解決430363個問題,去搜搜看,總會有你想問的

使用 $_SERVER['PHP_SELF']; vs htmlentities($_SERVER[

使用 $_SERVER['PHP_SELF']; vs htmlentities($_SERVER[

PHP
慕容3067478 2022-07-16 17:46:08
IT 管理員告訴他們,他們對新獲得的網(wǎng)站的安全掃描利用了以下共享代碼段,該代碼段用于網(wǎng)站的頭部并打開了許多漏洞,應該改為使用 htmlentities。我遇到了這個線程,它提供了一些見解,但是在這個用例中,我不太確定漏洞是否存在或什至在可行性范圍內(nèi),不是說由于服務器在 https 上而不可能嗎?這是處理表單 PHP 最安全的方法嗎如果它在 https 上,那不應該否定任何潛在的漏洞嗎?原來的<link rel="canonical" href="https://www.ourwebsite.com<?php echo echo $_SERVER['PHP_SELF']; ?>" />新的<link rel="canonical" href="https://www.ourwebsite.com<?php echo htmlentities($_SERVER['PHP_SELF']); ?>" />
查看完整描述

1 回答

?
拉風的咖菲貓

TA貢獻1995條經(jīng)驗 獲得超2個贊

問題:用戶可以控制$_SERVER['PHP_SELF']的內(nèi)容

假設您的代碼在 index.php 中

因此,當您調(diào)用https://www.yourserver.com/index.php時,您的代碼將按預期工作。但是當有人調(diào)用時 index.php 也會調(diào)用

http://localhost/phpinfo.php/%22/%3E%3Cscript%3Ealert('Hello');%3C/script%3E%3Cbr

/%22/%3E%3Cscript%3Ealert('Hello');%3C/script%3E%3Cbr 部分稱為 PATHINFO

當你嘗試它時,你會看到一些 javascript 也會被執(zhí)行。

一些邪惡的用戶可以使用其中的任何 javascript 生成這樣的鏈接,并通過電子郵件將其發(fā)送給他的受害者,希望他點擊它,他的 javascript 將在受害者瀏覽器上執(zhí)行。因此,他可能可以從該用戶那里竊取會話 ID 并捕獲他的會話


查看完整回答
反對 回復 2022-07-16
  • 1 回答
  • 0 關注
  • 137 瀏覽

添加回答

舉報

0/150
提交
取消
微信客服

購課補貼
聯(lián)系客服咨詢優(yōu)惠詳情

 幫助反饋 APP下載

慕課網(wǎng)APP
您的移動學習伙伴

 公眾號

掃描二維碼
關注慕課網(wǎng)微信公眾號