Page 1 sur 1
$_SERVER sécurité?
Posté : 10 nov. 2008, 13:54
par Mathieu68
Bonjour
je voudrais savoir si les $_SERVER["PHP_SELF"] ou $_SERVER["REQUEST_URI"] sont sécurisé sur la dernière version PHP.
Posté : 12 nov. 2008, 09:22
par Mathieu68
up personne?
Posté : 12 nov. 2008, 15:46
par Ryle
Euh.... vous pouvez répéter la question ?
Qu'entends tu par sécurisée ? Ce sont deux variables du serveur qui te permettent de connaitre respectivement le nom du fichier du script en cours d'exécution, et l'adresse spécifiée pour y arriver...
En quoi est ce que ces infos devraient être sécurisées ?
Posté : 12 nov. 2008, 17:46
par savageman
A priori $_SERVER['PHP_SELF'] ne l'est pas tandis que $_SERVER['REQUEST_URI'] l'est.
Posté : 13 nov. 2008, 12:34
par Mathieu68
Apparament ces variables peuvent être modifiées, afin de pirater un site internet d'où la protection htmlentites sur php_self. Mais j'aimerais bien savoir si les mises à jour de php ont corrigé le problème.
Et avoir un article pour me dire vraiment ce qu'il en est!
Merci
Posté : 13 nov. 2008, 17:23
par AB
Apparament ces variables peuvent être modifiées, afin de pirater un site internet d'où la protection htmlentites sur php_self. Mais j'aimerais bien savoir si les mises à jour de php ont corrigé le problème.
Et avoir un article pour me dire vraiment ce qu'il en est!
Merci
http://blog.developpez.com/julienpauli? ... elf_et_xss
http://seancoates.com/xss-woes#extended