Boroda aka Hamster (fantaseour) wrote,
Boroda aka Hamster
fantaseour

Security alert: PHP_SELF инъекции

Старая тема, однако может кто и не знал -- иногда программисты пользуются переменной $_SERVER['PHP_SELF'], которая дает имя файла, выполняющегося скрипта относительно корня сервера. Так вот, туда можно сунуть XSS инъекцию, добавив '/' после имени скрипта и вписав нужный код. Лечится экранированием.

Вот тут по-подробнее и приведены примеры кода
Tags: php, security
Subscribe

  • (no subject)

    Я очень люблю конференции. Они зажигают в разработчике свечечку, которую он потом бережно несет в себе через весь год! Когда-то давно, я с завистью…

  • MySQL.com взломан и продан за 3000$

    Вах! http://habrahabr.ru/blogs/infosecurity/129221/ зловред грузит екзешники через флеш, жаву и пдф. Пока правда только на винду и ие.

  • Bing Interview

    Сходил на интервью в Microsoft. Получил известную долю удовольствия. 5 интервью одно за другим. 4 технических, одно -- HR. Интервьюверы умны,…

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments