Re: Sicherheitsrisiko $PHP_SELF

Path	csiph.com!news.swapon.de!weretis.net!feeder4.news.weretis.net!feeder5.news.weretis.net!news.solani.org!.POSTED!not-for-mail
From	"Christoph M. Becker" <cmbecker69@arcor.de>
Newsgroups	de.comp.lang.php
Subject	Re: Sicherheitsrisiko $PHP_SELF
Date	Fri, 8 Sep 2017 12:52:03 +0200
Organization	solani.org
Lines	28
Message-ID	<ootsok$i6v$1@solani.org> (permalink)
References	<oo8l5k$7j1$1@dont-email.me> <oo8pjm$fti$1@solani.org> <oo9a7r$fk0$1@dont-email.me> <oo9cfs$sqd$1@solani.org> <2037004.MrV9MI1u15@PointedEars.de>
Mime-Version	1.0
Content-Type	text/plain; charset=utf-8
Content-Transfer-Encoding	8bit
X-Trace	solani.org 1504867924 18655 eJwdwoENwDAIA7CXmpFQOGel8P8JkyZb5vDadDk1v9QJF/BI2NPoe8i5GQBrZXUs0LpexbUPCskQqQ== (8 Sep 2017 10:52:04 GMT)
X-Complaints-To	abuse@news.solani.org
NNTP-Posting-Date	Fri, 8 Sep 2017 10:52:04 +0000 (UTC)
User-Agent	Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Thunderbird/52.3.0
Cancel-Lock	sha1:vvrfB7gL3KYcXrx7Cwgd7t9Hblw=
X-NNTP-Posting-Host	eJwNxsERACAIA7CVEEo5xvHE7j+C5pUMLp4Ck0ilvLMP9vzWlaxB+MAQLSlYbPhFjAq2bT0bZRC4
X-User-ID	eJwFwYEBgEAIAsCVKgXecch0/xG6Q/BmKwkmFsuQK2aofSB3Gcfa+V5Wxny9yAJacdmu8wMk4RGA
In-Reply-To	<2037004.MrV9MI1u15@PointedEars.de>
Content-Language	de-DE
Xref	csiph.com de.comp.lang.php:4250

Show key headers only | View raw

Am 08.09.2017 um 11:53 schrieb Thomas 'PointedEars' Lahn:

> Christoph M. Becker wrote:
> 
>> Das $_SERVER Array wird befüllt, bevor überhaupt ein PHP-Skript
>> ausgeführt wird
> 
> Das kommt auf die entsprechende Einstellung in der php.ini an:
> 
> <http://php.net/manual/en/ini.core.php#ini.auto-globals-jit>

Ah, das kannte ich noch nicht. Danke!

> $PHP_SELF bzw. $_SERVER['PHP_SELF'] zu verwenden, ist ausserdem ein 
> *Sicherheitsrisiko*, denn es handelt sich um eine *Variable, deren Wert der 
> Benutzer beeinflussen kann*:
> 
> <http://www.webadminblog.com/index.php/2010/02/23/a-xss-vulnerability-in-almost-every-php-form-ive-ever-written/>

Na ja, die Verwendung von PHP_SELF ist zunächst kein Sicherheitsrisiko;
nur wenn der Wert unbereinigt als HTML ausgegeben wird, entsteht
natürlich eine XSS-Sicherheitslücke. In diesem Fall ging es aber um
Debug-Infos, die wohl geloggt werden, und wenn das in einer Text-Datei
erfolgt, sehe ich kein Problem (sollte in eine DB geloggt werden, müsste
natürlich bereinigt werden – falls man keine prepared Statements verwendet).

-- 
Christoph M. Becker

Back to de.comp.lang.php | Previous | Next — Previous in thread | Next in thread | Find similar

Thread

Eltern-Datei bei include Ralph Stahl <post@rstahl.de> - 2017-08-31 11:38 +0200
  Re: Eltern-Datei bei include "Christoph M. Becker" <cmbecker69@arcor.de> - 2017-08-31 12:49 +0200
    Re: Eltern-Datei bei include Ralph Stahl <post@rstahl.de> - 2017-08-31 17:37 +0200
      Re: Eltern-Datei bei include "Christoph M. Becker" <cmbecker69@arcor.de> - 2017-08-31 18:11 +0200
        Sicherheitsrisiko $PHP_SELF (was: Eltern-Datei bei include) Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2017-09-08 11:53 +0200
          Re: Sicherheitsrisiko $PHP_SELF "Christoph M. Becker" <cmbecker69@arcor.de> - 2017-09-08 12:52 +0200
            Re: Sicherheitsrisiko $PHP_SELF Thomas 'PointedEars' Lahn <PointedEars@web.de> - 2017-09-08 12:58 +0200
      Re: Eltern-Datei bei include Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2017-08-31 16:45 +0000
        Re: Eltern-Datei bei include Ralph Stahl <post@rstahl.de> - 2017-09-02 09:13 +0200

csiph-web