?

Log in

No account? Create an account
tech

Security alert: PHP_SELF инъекции

Старая тема, однако может кто и не знал -- иногда программисты пользуются переменной $_SERVER['PHP_SELF'], которая дает имя файла, выполняющегося скрипта относительно корня сервера. Так вот, туда можно сунуть XSS инъекцию, добавив '/' после имени скрипта и вписав нужный код. Лечится экранированием.

Вот тут по-подробнее и приведены примеры кода
Tags: ,

Comments