復制代碼 代碼如下:
<html>
<body>
<?php
if (isset($_REQUEST['submitted']) && $_REQUEST['submitted'] == '1') {
echo "Form submitted!";
}
?>
<form action="<?php echo $_SERVER['PHP_SELF']; ?>">
<input type="hidden" name="submitted" value="1" />
<input type="submit" value="Submit!" />
</form>
</body>
</html>
看似准確無誤的代碼,但是暗藏著危險。讓我們將其保存為 foo.php ,然後放到 PHP 環境中使用
foo.php/%22%3E%3Cscript%3Ealert('xss')%3C/script%3E%3Cfoo
訪問,會發現彈出個 Javascript 的 alert -- 這很明顯又是個 XSS 的注入漏洞。究其原因,發現是在
echo $_SERVER['PHP_SELF'];
這條語句上直接輸出了未過濾的值。追根數源,我們看下 PHP 手冊的描述
'PHP_SELF'
The filename of the currently executing script, relative to the document root.
For instance, $_SERVER['PHP_SELF'] in a script at the address
http://example.com/test.php/foo.bar would be /test.php/foo.bar. The __FILE__
constant contains the full path and filename of the current (i.e. included) file.
If PHP is running as a command-line processor this variable contains the script
name since PHP 4.3.0. Previously it was not available.
原因很明確了,原來是 $_SERVER['PHP_SELF'] 雖然“看起來”是服務器提供的環境變量,但這的確和 $_POST 與 $_GET 一樣,是可以被用戶更改的。
其它類似的變量有很多,比如 $_COOKIE 等(如果用戶想“把玩”他們的 cookie,那我們也是沒有辦法)。解決方案很簡單,使用 strip_tags、htmlentities 等此類函數過濾或者轉義。
echo htmlentities($_SERVER['PHP_SELF']);
-- Split --
上述的例子讓我們需要時刻保持謹慎 coding 的心態。Chris Shiflett 在他的 Blog 總結的相當直白,防止 XSS 的兩個基本的安全思想就是
Filter input
Escape output
我將上面翻譯成 “過濾輸入,轉義輸出”。詳細的內容,可以參考他 Blog 的這篇文章,此處略。