David Zhang - $_SERVER['PHP_SELF'] and cross-site scripting

Monday, May 20, 2013

It's tempting to assume that PHP's $_SERVER array mostly contains fields out of the reach of an attacker, since these are "server" variables. However, that's not always the case; in particular, the seemingly innocuous PHP_SELF field can be a vector for cross-site scripting.

For example, consider the following foo.php:

<form method="POST" action="<?php echo $_SERVER['PHP_SELF'] ?>">
    <!-- ...form elements... -->
</form>

If I visit http://www.example.com/foo.php, $_SERVER['PHP_SELF'] will be /foo.php and everything will work correctly.

But what if I visit http://www.example.com/foo.php/"><script>alert('hello');</script> instead? Then the rendered HTML will be:

<form method="POST" action="/foo.php/"><script>alert('hello');</script>">
    <!-- ...form elements... -->
</form>

This allows injection of arbitrary script running under the host site's context, also known as XSS. Two ways to fix this are:

Use $_SERVER['SCRIPT_NAME'] instead of $_SERVER['PHP_SELF']. The former is the name of the actual script file and can't normally be manipulated by an attacker.
Use htmlspecialchars(), which by default will escape double-quotes and prevent a user-supplied string from breaking out of an HTML attribute context.

By the way, this was pretty surprising behavior to me for two reasons:

The documentation of PHP_SELF is misleading: The first sentence says:
The filename of the currently executing script, relative to the document root.
It seems odd that PHP would refer to something like /foo.php/"><script>alert('hello');</script> as a "filename."
It's pretty bizarre default behavior that PHP will execute /foo.php for a request of /foo.php/bar/baz.

Tags: php, xss, security | Posted at 11:13 | Comments (15)

Comments

David Annis on Wednesday, June 25, 2014 at 06:32

I have used the fact that php will execute /foo.php from a request that contains /foo.php/bar to make search engine friendly URLs because many search engines will not index both wheretodrink.php?answer=bar and wheretodrink.php?answer=home because they fear an infinite set of URLs.

bibeiPow on Thursday, April 16, 2026 at 08:22

Компания MiGroup специализируется на поставке металлообрабатывающего оборудования и профессионального инструмента: от 5-осевых обрабатывающих центров с ЧПУ до токарных станков, фрез, свёрл и измерительного инструмента. На <a href=https://migroup.tech/>https://migroup.tech/</a> представлен широкий каталог — станки, вспомогательное оборудование, смазочные материалы и оснастка для производств любого масштаба. Работая с промышленными предприятиями, MiGroup закрывает полный цикл задач — подбор оборудования, его поставку и последующее техническое сопровождение.

Scottviope on Thursday, April 16, 2026 at 12:07

Worth reading from start to finish <a href=https://priscilaespindola.traineron.com.br/erros-posturais/?unapproved=130505&moderation-hash=b698c19037cdaaf88dd1e78b4df2c5de#comment-130505>https://priscilaespindola.traineron.com.br/erros-posturais/?unapproved=130505&moderation-hash=b698c19037cdaaf88dd1e78b4df2c5de#comment-130505</a>

lepibRam on Thursday, April 16, 2026 at 14:28

<a href=https://onlinecasino-square.com/>https://onlinecasino-square.com/</a> にアクセスしてください。そこでは、信頼できる情報源から得た、日本の様々なカジノに関する包括的な情報をご覧いただけます。ゲームプラットフォームの独立した評価や、登録ボーナス、常連プレイヤー向けボーナスに関する重要な情報も掲載されています。詳しくはウェブサイトをご覧ください。

wogubmstila on Thursday, April 16, 2026 at 14:43

Библиотека из более чем 89 000 фильмов, сериалов, аниме, мультфильмов и дорам превращает этот сервис в по-настоящему универсальный онлайн-кинотеатр. Ищете <a href=https://kinogo-filmov.biz/>смотреть фильмы и сериалы онлайн</a>? На kinogo-filmov.biz работает гибкая система фильтрации по жанру, году, стране, рейтингу IMDb и КиноПоиску — найти нужное можно за секунды. Максимальное качество картинки — BD 1080p, а линейка доступных переводов охватывает все популярные варианты. Каталог регулярно пополняется новинками: среди свежих релизов уже числится «Одиссея» 2026 года.

kojizuRof on Thursday, April 16, 2026 at 17:54

Drinks Delivery — надёжный сервис алкогольной доставки в Дубае для жителей и гостей города, ценящих оперативность и строгое следование местным нормам. Каждый заказ обрабатывается строго по закону: дискретно, безопасно и без лишних формальностей. Ищете <a href=https://drinks-delivery.com>купить алкоголь в дубае</a>? На drinks-delivery.com представлен широкий выбор пива, вина, шампанского, крепкого алкоголя и ликёров от ведущих мировых брендов. Достаточно написать в Telegram или WhatsApp — и доставка поступит прямо до вашего порога.

gopulsep on Thursday, April 16, 2026 at 20:48

«ДИТЕЙЛ» — профильный интернет-магазин фурнитуры и материалов для изготовления и восстановления мебели. В каталоге представлены обивочные ткани, кожзам, велюр, поролон разных марок и плотностей, трансформационные механизмы для диванов и кроватей, основания, газлифты, петли, пружины, декоративные элементы и расходные материалы. Ищете <a href=https://ditail.ru/mebelnye-tkani/tkan>мебельная ткань москва</a>? На ditail.ru собраны позиции от ведущих производителей по конкурентным ценам. Магазин ориентирован на мастеров, мастерские и производственные компании — скидки до 50% на ткани и кроватные основания делают каждую закупку максимально экономичной.

bijeyibab on Thursday, April 16, 2026 at 21:05

«Тетрадь Смерти» — культовый психологический триллер, не имеющий аналогов в мире аниме. Школьник Лайт Ягами находит тетрадь, убивающую любого, чьё имя в ней написано, и решает стать судьёй человечества. Ищете <a href=https://tetrad-smerti-smotret.biz/>тетрадь смерти смотреть онлайн</a> ? На tetrad-smerti-smotret.biz все 37 серий доступны бесплатно в хорошем качестве. Дуэль Лайта и детектива L — безупречно выстроенная игра на грани гениальности и безумия, в которой нет места слабости. Психологический триллер, моральные дилеммы и непредсказуемый финал делают этот сериал обязательным к просмотру.

RobinDig on Thursday, April 16, 2026 at 22:28

An online casino (virtual casino, online casino) is a website or special program that allows <a href="https://restaurant-pirosmani.ru">justine mirdita porno</a>

RobinDig on Thursday, April 16, 2026 at 22:34

An online casino (virtual casino, online casino) is a website or special program that allows <a href="https://riobet-official.us.com">xyeyex porno</a>

RobinDig on Friday, April 17, 2026 at 06:03

The Turbo Casino official website features a live dealer games catalog featuring games <a href="https://www.wowonder.xyz/read-blog/409922">https://tudomuaban.com/chi-tiet-rao-vat/2876204/pin-up----.html</a>

kewahblolf on Friday, April 17, 2026 at 06:09

ПрофМеталМаркет — поставщик алюминия и нержавеющей стали в Москве для строительной, отделочной и производственной сферы. Покупателям доступен полный перечень позиций: уголки, трубы, швеллеры, двутавры, полосы, листы, пороги и профили для потолочных систем. Ищете <a href=https://profmetal-market.ru/product-category/nerzhavejka/ugolok-g-profil-nerzhavejka/>уголок 20х20 нержавейка купить</a>? На profmetal-market.ru представлен весь каталог с актуальными ценами и возможностью заказа онлайн. Анодированный алюминий, зеркальная нержавейка, крепёж JOKER и хромированная фурнитура постоянно есть на складе. Возможность самовывоза из Москвы и оперативная доставка по России превращают компанию в надёжного партнёра как для бизнеса, так и для частных лиц.

RobinDig on Friday, April 17, 2026 at 06:09

The Turbo Casino official website features a live dealer games catalog featuring games <a href="http://sheffield2013.blogs.latrobe.edu.au/2013/06/the-impending-study-tour-is-now-less.html?sc=1776159389891#c1453836530136255887">https://www.thitrungruangclinic.com/forum/topic/116772/pin-up-РєР°Р·РёРЅРѕ</a>

rusozelcesee on Friday, April 17, 2026 at 07:13

Гранит — материал, проверенный тысячелетиями: египетские пирамиды, античные храмы и современные мегаполисы объединяет именно этот камень. Компания «Гранит Сервис» продолжает традицию работы с благородным натуральным камнем, предлагая изделия высочайшего качества для мемориальных комплексов, архитектурных объектов и интерьеров. Все услуги и каталог представлены на <a href=https://granitservise.ru/>https://granitservise.ru/</a> — от резки и полировки до установки готовых изделий под ключ. Профессиональный подход, собственное производство и строгий контроль качества на каждом этапе гарантируют результат, который прослужит десятилетия.

yalekanSar on Friday, April 17, 2026 at 07:53

Looking for a therapeutic massage at home in Thessaloniki? Visit <a href=https://masaz-kat-oikon.gr/>https://masaz-kat-oikon.gr/</a> where you can benefit from the services of a certified massage therapist with over 10 years of experience. Browse the price list and discover the massage types that will suit every client's needs.

Name:
Email:	(optional, not displayed to public)
URL:	(do not fill this in — leave blank!)

$_SERVER['PHP_SELF'] and cross-site scripting

Monday, May 20, 2013

Comments

Add a comment

Archives