复制代码 代码如下:
看似准确无误的代码，但是暗藏着危险。让我们将其保存为 foo.php ，然后放到 php 环境中使用
foo.php/%22%3e%3cscript%3ealert('xss')%3c/script%3e%3cfoo
访问，会发现弹出个 javascript 的 alert -- 这很明显又是个 xss 的注入漏洞。究其原因，发现是在
echo $_server['php_self'];
这条语句上直接输出了未过滤的值。追根数源，我们看下 php 手册的描述
'php_self'
the filename of the currently executing script, relative to the document root.
for instance, $_server['php_self'] in a script at the address
http://example.com/test.php/foo.bar would be /test.php/foo.bar. the __file__
constant contains the full path and filename of the current (i.e. included) file.
if php is running as a command-line processor this variable contains the script
name since php 4.3.0. previously it was not available.
原因很明确了，原来是 $_server['php_self'] 虽然“看起来”是服务器提供的环境变量，但这的确和 $_post 与 $_get 一样，是可以被用户更改的。
其它类似的变量有很多，比如 $_cookie 等（如果用户想“把玩”他们的 cookie，那我们也是没有办法）。解决方案很简单，使用 strip_tags、htmlentities 等此类函数过滤或者转义。
echo htmlentities($_server['php_self']);
-- split --
上述的例子让我们需要时刻保持谨慎 coding 的心态。chris shiflett 在他的 blog 总结的相当直白，防止 xss 的两个基本的安全思想就是
filter input
escape output
我将上面翻译成 “过滤输入，转义输出”。详细的内容，可以参考他 blog 的这篇文章，此处略。
http://www.bkjia.com/phpjc/320512.htmlwww.bkjia.comtruehttp://www.bkjia.com/phpjc/320512.htmltecharticle复制代码 代码如下: html body ?php if (isset($_request['submitted']) $_request['submitted'] == '1') { echo form submitted!; } ? form action=?php echo $_server['php_self']...