PHP-Self und du mich auch

11Nov2010 Filed under: php Author: admin

Bei Programmiersprachen sollte man immer wie beim Schachspiel vorausschauend agieren. Genauso ist es, wenn man mit Websprachen wie PHP arbeitet und die Sicherheit im Auge behalten muss. Wenn man nämlich

<?php echo $_SERVER['PHP_SELF']; ?>

in seinen Verweisen (Links) anwendet,

<form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post">
 <input type="text" name="search">
 <input type="submit" value="Suchen">
</form>

dann kann das schnell mal zu XSS hinauslaufen (bzw man öffnet bösen Menschen Tür und Tor für die Einbindung von schadhaftem Code, wodurch man z.B. Datenbanken ausspionieren kann).

Lösung bei der Sache wäre der Umstieg auf

$_SERVER['SCRIPT_NAME']

[EDIT:] interessant dazu auch die verschiedenen Arten und Weisen den Pfad des aktuellen Skriptes zu erhalten.

Tags: code, php, tipp, xss

You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

3 Responses to “PHP-Self und du mich auch”

flashgame
Dezember 20th, 2010 at %H:%M

danke für die tipps . bin momentan fleissig am php lernen.
jan@Thailand
Januar 11th, 2011 at %H:%M

Auch danke von mir, ich habe immer ein wenig angst mich im Quelltext zu versuchen
Mike@Deutsche TV Serien
Januar 16th, 2011 at %H:%M

genau das hatte ich gesucht. So ein XSS hatte ich dann auch mal.. dann war die Seite futsch.
Danke für die Verlinkungen, sehen interessant aus.

Einträge (RSS)
Kommentare (RSS)

Über diesen Blog

Das WebLog (oder kurz Blog) von der Medienbeckerei beschäftigt sich mit den herzhaftesten Köstlichkeiten die die IT Küche zu bieten hat. Da ist für jeden Feinschmecker etwas dabei. Ob es SEO, CMSs, CSS, XML, Rails,Ruby, Perl, AJAX oder was auch immer für Zutaten betrifft. Die Medienbeckerei verwandelt mit viel Erfahrung und Gespühr diese in schmackhafte Gerichte. Viel Genuss!

Angebote und Einkaufen klimaneutral - bei kaufDA.de

Medienbeckerei Blog