Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]

Groups > de.comp.lang.php > #4250

Re: Sicherheitsrisiko $PHP_SELF

From "Christoph M. Becker" <cmbecker69@arcor.de>
Newsgroups de.comp.lang.php
Subject Re: Sicherheitsrisiko $PHP_SELF
Date 2017-09-08 12:52 +0200
Organization solani.org
Message-ID <ootsok$i6v$1@solani.org> (permalink)
References <oo8l5k$7j1$1@dont-email.me> <oo8pjm$fti$1@solani.org> <oo9a7r$fk0$1@dont-email.me> <oo9cfs$sqd$1@solani.org> <2037004.MrV9MI1u15@PointedEars.de>

Show all headers | View raw

Am 08.09.2017 um 11:53 schrieb Thomas 'PointedEars' Lahn:

> Christoph M. Becker wrote:
> 
>> Das $_SERVER Array wird befüllt, bevor überhaupt ein PHP-Skript
>> ausgeführt wird
> 
> Das kommt auf die entsprechende Einstellung in der php.ini an:
> 
> <http://php.net/manual/en/ini.core.php#ini.auto-globals-jit>

Ah, das kannte ich noch nicht. Danke!

> $PHP_SELF bzw. $_SERVER['PHP_SELF'] zu verwenden, ist ausserdem ein 
> *Sicherheitsrisiko*, denn es handelt sich um eine *Variable, deren Wert der 
> Benutzer beeinflussen kann*:
> 
> <http://www.webadminblog.com/index.php/2010/02/23/a-xss-vulnerability-in-almost-every-php-form-ive-ever-written/>

Na ja, die Verwendung von PHP_SELF ist zunächst kein Sicherheitsrisiko;
nur wenn der Wert unbereinigt als HTML ausgegeben wird, entsteht
natürlich eine XSS-Sicherheitslücke. In diesem Fall ging es aber um
Debug-Infos, die wohl geloggt werden, und wenn das in einer Text-Datei
erfolgt, sehe ich kein Problem (sollte in eine DB geloggt werden, müsste
natürlich bereinigt werden – falls man keine prepared Statements verwendet).

-- 
Christoph M. Becker

Back to de.comp.lang.php | Previous | NextPrevious in thread | Next in thread | Find similar

Thread

Eltern-Datei bei include Ralph Stahl <post@rstahl.de> - 2017-08-31 11:38 +0200
  Re: Eltern-Datei bei include "Christoph M. Becker" <cmbecker69@arcor.de> - 2017-08-31 12:49 +0200
    Re: Eltern-Datei bei include Ralph Stahl <post@rstahl.de> - 2017-08-31 17:37 +0200
      Re: Eltern-Datei bei include "Christoph M. Becker" <cmbecker69@arcor.de> - 2017-08-31 18:11 +0200
        Sicherheitsrisiko $PHP_SELF (was: Eltern-Datei bei include) Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2017-09-08 11:53 +0200
          Re: Sicherheitsrisiko $PHP_SELF "Christoph M. Becker" <cmbecker69@arcor.de> - 2017-09-08 12:52 +0200
            Re: Sicherheitsrisiko $PHP_SELF Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2017-09-08 12:58 +0200
      Re: Eltern-Datei bei include Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2017-08-31 16:45 +0000
        Re: Eltern-Datei bei include Ralph Stahl <post@rstahl.de> - 2017-09-02 09:13 +0200

csiph-web