【发布时间】:2009-10-03 03:31:55
【问题描述】:
对于我正在编写的 mvc 框架,我需要使用像 SCRIPT_FILENAME 这样的 $_SERVER 变量。我想知道用户是否可以改变这样的事情。假设用户请求 index.php,他们可以伪造 SCRIPT_FILENAME 变量并将其重命名为正在发送的其他内容吗?
【问题讨论】:
标签: php
对于我正在编写的 mvc 框架,我需要使用像 SCRIPT_FILENAME 这样的 $_SERVER 变量。我想知道用户是否可以改变这样的事情。假设用户请求 index.php,他们可以伪造 SCRIPT_FILENAME 变量并将其重命名为正在发送的其他内容吗?
【问题讨论】:
标签: php
有些$_SERVER 值是安全的,有些则不是。不安全的大多以HTTP_开头,是用户浏览器发送的HTTP头。
【讨论】:
【讨论】:
假设用户无权访问通过另一个脚本重定向脚本执行的某种方式,或者访问服务器,我会说不。
另外,如果您真的担心,可以使用不依赖用户数据的__FILE__。
【讨论】: