| « Displaying Chinese UTF-8 characters in gvim on Windows | Prosper's insecure bank account management feature » |
$_SERVER['PHP_SELF'] and cross-site scripting
Monday, May 20, 2013
It's tempting to assume that PHP's $_SERVER array mostly contains fields out of the reach of an attacker, since these are "server" variables. However, that's not always the case; in particular, the seemingly innocuous PHP_SELF field can be a vector for cross-site scripting.
For example, consider the following foo.php:
<form method="POST" action="<?php echo $_SERVER['PHP_SELF'] ?>">
<!-- ...form elements... -->
</form>
If I visit http://www.example.com/foo.php, $_SERVER['PHP_SELF'] will be /foo.php and everything will work correctly.
But what if I visit http://www.example.com/foo.php/"><script>alert('hello');</script> instead? Then the rendered HTML will be:
<form method="POST" action="/foo.php/"><script>alert('hello');</script>">
<!-- ...form elements... -->
</form>
This allows injection of arbitrary script running under the host site's context, also known as XSS. Two ways to fix this are:
- Use
$_SERVER['SCRIPT_NAME']instead of$_SERVER['PHP_SELF']. The former is the name of the actual script file and can't normally be manipulated by an attacker. - Use htmlspecialchars(), which by default will escape double-quotes and prevent a user-supplied string from breaking out of an HTML attribute context.
By the way, this was pretty surprising behavior to me for two reasons:
- The documentation of PHP_SELF is misleading: The first sentence says:
It seems odd that PHP would refer to something likeThe filename of the currently executing script, relative to the document root.
/foo.php/"><script>alert('hello');</script>as a "filename." - It's pretty bizarre default behavior that PHP will execute
/foo.phpfor a request of/foo.php/bar/baz.
Comments
tamihelRar on Friday, April 3, 2026 at 01:02
«Сплетница» — американский хит 2007 года о манхэттенской элите, за блестящим фасадом которой бушуют интриги, измены и беспощадная схватка за социальный статус. Возвращение Серены Ван дер Вудсен в Верхний Ист-Сайд мгновенно разрушает шаткое равновесие и ставит под удар трон «королевы школы» Блэр Уолдорф. Ищете <a href=https://spletnitsa-smotret.online/>сплетница все серии</a>? На spletnitsa-smotret.online все 121 серия шести сезонов доступна бесплатно в хорошем качестве. Анонимный блогер Сплетница держит весь Манхэттен в страхе, публикуя разоблачительные материалы о каждом — и никто не знает, кто скрывается за этим ником.
nezohBar on Friday, April 3, 2026 at 02:50
Компания «МСК Строй Групп» работает на московском строительном рынке десять лет и выполняет полный цикл ремонта квартир, офисов, коттеджей и торговых площадей под ключ. Работы выполняют опытные мастера с практикой от семи лет — на все результаты их труда компания предоставляет официальную гарантию сроком от года. Ищете <a href=https://www.msk-stroygroup.ru/>дренаж участка под ключ москва</a>? На msk-stroygroup.ru можно рассчитать стоимость онлайн через калькулятор и заказать выезд специалиста на объект. Компания полностью берёт на себя подбор и доставку материалов с корпоративной скидкой — комплексный заказ экономит клиенту до 20% от общей стоимости проекта.
teteleTaunk on Friday, April 3, 2026 at 03:52
Необходимо благоустройство участка под ключ? Посетите сайт Идеал строй <a href=https://idealstr.ru/uslugi/blagoustrojstvo-territorii>https://idealstr.ru/uslugi/blagoustrojstvo-territorii</a> - ознакомьтесь с нашими работами или звоните по телефону +7 495 227 58 48 - наши квалифицированные сотрудники ответят на все интересующие вас вопросы.
dokegdtib on Friday, April 3, 2026 at 06:45
«Ганнибал» — психологический криминальный триллер, в котором агент ФБР Уилл Грэм с болезненной эмпатией вживается в сознание серийных убийц, раскрывая самые изощрённые преступления. Его куратором становится блестящий психиатр доктор Лектер — элегантный манипулятор, скрывающий за безупречными манерами природу чудовища. Ищете <a href=https://gannibal-smotret.online/>ганнибал смотреть онлайн</a>? Все 39 серий трёх сезонов доступны бесплатно на gannibal-smotret.online с профессиональной озвучкой AlexFilm и BaibaKo. Визуальный ряд сериала безупречен: кровавые сцены сняты как произведения тёмного искусства и работают на атмосферу психологического напряжения, а не на примитивный эпатаж.
cefegPet on Friday, April 3, 2026 at 12:06
«Дневники вампира» — культовый мистический сериал из США о тихом городке Мистик Фоллс, под спокойной поверхностью которого живут вампиры, ведьмы и вековые тайны. Обычная школьница Елена Гилберт оказывается втянута в роковой любовный треугольник с братьями-вампирами Стефаном и Деймоном Сальваторе. Ищете <a href=https://dnevniki-vampira-smotret.online/>дневники вампира все серии</a>? На dnevniki-vampira-smotret.online все 171 серия восьми сезонов доступна бесплатно в хорошем качестве. Острый сюжет, харизматичные герои и непредсказуемые повороты удерживают у экрана до финальных титров.
nanajeVug on Friday, April 3, 2026 at 17:28
Двенадцать сезонов и 245 серий — именно столько выдержал американский сериал «Кости», что само по себе говорит о его уровне. Темперанс Бреннан — судебный антрополог, способная извлечь из останков то, что недоступно стандартной криминалистике. Рядом с ней — агент ФБР Сили Бут: бывший снайпер, работающий на чутье и жизненном опыте. Ищете <a href=https://kosti-smotret.net/>кости смотреть онлайн</a>? Смотреть все серии онлайн бесплатно в хорошем качестве можно на kosti-smotret.net с несколькими вариантами озвучки. Конфликт между точным знанием и человеческим инстинктом пронизывает весь сериал и не отпускает до финальных титров.
ruhaltDrUgs on Friday, April 3, 2026 at 17:30
«Рик и Морти» — культовый мультсериал 2013 года про гениального, но совершенно безумного учёного и его впечатлительного внука, буквально втянутых в нескончаемые межгалактические авантюры. Ищете <a href=https://rik-i-morti-smotret.net/>рик и морти все серии</a>? На rik-i-morti-smotret.net доступны все 8 сезонов и 84 серии бесплатно в отличном качестве. Сериал блестяще совмещает чёрный юмор, научную фантастику и философские подтексты: за безумными приключениями среди инопланетян и параллельных миров стоят серьёзные размышления о свободе выбора, семейных связях и смысле бытия. Каждый эпизод — это одновременно взрывной абсурд и неожиданно глубокая мысль.
mituxryAnasy on Friday, April 3, 2026 at 21:04
HBO представил «Дом Дракона» — грандиозный фэнтези-сериал, возвращающий аудиторию на два века назад в золотой век Таргариенов. Принцесса Рейнира борется за право на Железный трон вопреки законам Вестероса, а самым непредсказуемым врагом становится её родственник Дэймон. Ищете <a href=https://dom-drakona-smotret.online/>дом дракона все серии</a>? Все 18 серий обоих сезонов доступны на dom-drakona-smotret.online в высоком качестве с множеством вариантов озвучки. Сериал захватывает не только зрелищными сценами с драконами, но и тонкой политической игрой, где каждый союз временен, а улыбка скрывает удар в спину.
gahitrdFreva on Friday, April 3, 2026 at 23:45
«Американцы» — шпионский триллер о советских нелегалах, живущих под прикрытием в американском пригороде в разгар холодной войны. Снаружи — нормальная семья с детьми и небольшим бизнесом, внутри — опасная двойная жизнь с заданиями КГБ, агентурными связями и вечным страхом быть раскрытыми. Ищете <a href=https://amerikancy-kinogo.biz/>американцы смотреть онлайн</a>? Все 75 серий шести сезонов доступны бесплатно на amerikancy-kinogo.biz с озвучкой AMS и IdeaFilm. По соседству с главными героями поселяется агент ФБР, охотящийся именно за советскими шпионами, что превращает каждый эпизод в психологическую дуэль на грани нервного срыва.
Abrahamundow on Saturday, April 4, 2026 at 01:06
«Севертур» — туроператор, сделавший Русский Север своей главной специализацией и предлагающий маршруты по самым уникальным уголкам страны. «Севертур» отправляет туристов в Каргополь, на Соловки, в Карелию, Вологду, Великий Устюг, Архангельск и Кенозерский национальный парк. Ищете <a href=https://xn--b1afb8babli.xn--p1ai/>туркомплекс соловки</a>? На xn--b1afb8babli.xn--p1ai собраны десятки маршрутов для самостоятельных путешественников и тургрупп с подробными описаниями и ценами. В каталоге — автобусные, праздничные и каникулярные туры с готовой программой под любой бюджет.
Add a comment
Archives
2024
- September (1)
- March (1)
2023
- April (1)
2021
- February (2)
2020
- March (1)
- January (1)
2018
- April (1)
- March (1)
2017
- February (1)
2015
- March (1)
2014
- June (1)
- May (1)
- March (1)
2013
- December (1)
- May (1)
- April (1)
- March (2)
2012
- December (1)
- September (1)
- August (3)
- July (1)
- February (1)
- January (1)
2011
- December (1)
- June (1)
- April (1)
- March (1)
- January (2)
2010
- December (1)
- November (4)
- October (1)
- June (2)
- May (1)
- March (1)
- February (2)
- January (2)
2009
- December (4)
David Annis on Wednesday, June 25, 2014 at 06:32
I have used the fact that php will execute /foo.php from a request that contains /foo.php/bar to make search engine friendly URLs because many search engines will not index both wheretodrink.php?answer=bar and wheretodrink.php?answer=home because they fear an infinite set of URLs.