« Displaying Chinese UTF-8 characters in gvim on Windows Prosper's insecure bank account management feature »

$_SERVER['PHP_SELF'] and cross-site scripting

Monday, May 20, 2013

It's tempting to assume that PHP's $_SERVER array mostly contains fields out of the reach of an attacker, since these are "server" variables. However, that's not always the case; in particular, the seemingly innocuous PHP_SELF field can be a vector for cross-site scripting.

For example, consider the following foo.php:

<form method="POST" action="<?php echo $_SERVER['PHP_SELF'] ?>">
    <!-- ...form elements... -->
</form>

If I visit http://www.example.com/foo.php, $_SERVER['PHP_SELF'] will be /foo.php and everything will work correctly.

But what if I visit http://www.example.com/foo.php/"><script>alert('hello');</script> instead? Then the rendered HTML will be:

<form method="POST" action="/foo.php/"><script>alert('hello');</script>">
    <!-- ...form elements... -->
</form>

This allows injection of arbitrary script running under the host site's context, also known as XSS. Two ways to fix this are:

  • Use $_SERVER['SCRIPT_NAME'] instead of $_SERVER['PHP_SELF']. The former is the name of the actual script file and can't normally be manipulated by an attacker.
  • Use htmlspecialchars(), which by default will escape double-quotes and prevent a user-supplied string from breaking out of an HTML attribute context.

By the way, this was pretty surprising behavior to me for two reasons:

  • The documentation of PHP_SELF is misleading: The first sentence says:

    The filename of the currently executing script, relative to the document root.

    It seems odd that PHP would refer to something like /foo.php/"><script>alert('hello');</script> as a "filename."
  • It's pretty bizarre default behavior that PHP will execute /foo.php for a request of /foo.php/bar/baz.

Tags: php, xss, security | Posted at 11:13 | Comments (23)

Comments

David Annis on Wednesday, June 25, 2014 at 06:32

I have used the fact that php will execute /foo.php from a request that contains /foo.php/bar to make search engine friendly URLs because many search engines will not index both wheretodrink.php?answer=bar and wheretodrink.php?answer=home because they fear an infinite set of URLs.

ducocrdCague on Wednesday, June 3, 2026 at 03:48

Мобильные установки по очистке воды от компании PWS — это инженерное решение для объектов, где невозможна стационарная инфраструктура. Компактные модульные системы монтируются на базе контейнеров или прицепов, обеспечивая полный цикл водоподготовки в полевых условиях, на строительных площадках или временных производствах. На сайте <a href=https://pws.world/mobilnye-ustanovki>https://pws.world/mobilnye-ustanovki</a> представлены готовые проекты с индивидуальной настройкой под химический состав источника — скважины, водопровода или оборотного контура. Каждая установка соответствует СанПиН и техрегламентам РФ, что гарантирует быстрое согласование и надежную эксплуатацию без простоев.

fejafaClilt on Wednesday, June 3, 2026 at 04:48

Якщо шукаєте, який бренд філаменту обрати в Україні, зверніть увагу на LBL — українського виробника та інтернет-магазин PLA і PETG/CoPET пластику для 3Д принтерів. Тут можна купити якісний філамент у різних кольорах, оптом і в роздріб, з доставкою по Києву та Україні: <a href=https://lbl-corp.com/>https://lbl-corp.com/</a>

Russelljoire on Wednesday, June 3, 2026 at 04:53

will dubai real estate market crash https://buypenthouseindubai.com

ferainmop on Wednesday, June 3, 2026 at 05:46

Современные финансовые технологии открывают новые возможности для тех, кто оказался в сложной ситуации и нуждается в срочных средствах. Онлайн-займы стали настоящим спасением для миллионов россиян: заявка рассматривается за считанные минуты, а деньги поступают на карту практически мгновенно. На платформе <a href=https://xn----7sbujpz2a7c.xn--p1ai/>https://xn----7sbujpz2a7c.xn--p1ai/</a> собраны проверенные предложения от надёжных микрофинансовых организаций с прозрачными условиями. Особенно привлекательно, что новые клиенты могут получить первый займ под 0%, а одобрение возможно даже при непростой кредитной истории. Сервис работает круглосуточно, избавляя от необходимости посещать офисы и стоять в очередях — всё решается дистанционно за 15 минут.

nifofuSah on Wednesday, June 3, 2026 at 06:05

Looking for <a href=https://www.cyberspyder.net/>custom wordpress website design arkansas</a>? CyberSpyder cyberspyder.net is a full-service Web development and Digital Marketing firm located in Fort Smith, Arkansas, providing solutions to local, regional, and national clients. Our comprehensive service portfolio includes Web design, SEO, Digital marketing, Graphic design, Hosting, and ongoing Support. Backed by more than 25 Years of Expertise, We create tailored Strategies and Deliver hands-on support for small and mid-sized businesses.

xejevioxype on Wednesday, June 3, 2026 at 06:19

Мартин Сад <a href=https://www.martin-sad.ru/>https://www.martin-sad.ru/</a> - это питомник растений и огромный садовый центр в Москве. Посетите сайт - посмотрите самый полный каталог саженцев и растений предлагаемых нами, а также каталог товаров для сада. У нас множество товаров по Акции! Оказываем услуги посадки растений и ухода за участком. Подробнее на сайте!

punetsres on Wednesday, June 3, 2026 at 06:33

Looking for a list of crypto swaps? Visit <a href=https://swapslist.io/>https://swapslist.io/</a> - SwapsList helps users compare crypto exchange services before choosing where to exchange digital assets. The site focuses on practical exchange factors: KYC regulations, registration requirements, supported coins, available networks, expected speed, rate type, fees, fiat routes, and wallet payout flow. Use the list to compare direct swap services, aggregators, and online exchange options.

zalicrdKar on Wednesday, June 3, 2026 at 07:15

BTC converter at <a href=https://btc-converter.com/>https://btc-converter.com/</a> - Use the BTC conversion tool to calculate the current value of Bitcoin in US dollars. Enter the amount of Bitcoin and see the estimated dollar equivalent based on the live BTC/USD exchange rate. The tool is designed for quick checks before selling, trading, comparing wallet balances, or viewing cryptocurrency payment amounts. It can display 1 BTC in dollars, smaller coin amounts, larger balances, and general dollar-based comparisons.

sututSloli on Wednesday, June 3, 2026 at 08:05

Check the live Bitcoin price in GBP and see how much 1 BTC is worth in British Pounds right now. <a href=https://bitcoinpricegbp.com/>https://bitcoinpricegbp.com/</a> tracks the current BTC/GBP exchange rate, daily movements, and key market data for users looking for a quick reference for Bitcoin in British Pounds. This site is useful for users tracking their Bitcoin balance in GBP, comparing today's movements, and checking their portfolio value.

xijejatAmilt on Wednesday, June 3, 2026 at 10:34

好きです韓国語, 韓国語 ね, はい 韓国語, はい韓国語, あらっそ 韓国語. これが何かわからない?それならウェブサイト <a href=https://kanayari.info/>https://kanayari.info/</a> にアクセスしてみてください。韓国語に関する質問も含め、あらゆる疑問への答えが見つかります。勉強にもなるし、面白いですよ!

zozalezerse on Wednesday, June 3, 2026 at 17:49

Looking to buy and sell USDT for fiat online? Visit <a href=https://buysellswappro.com/>https://buysellswappro.com/</a> - BuySellSwapPro helps users navigate between fiat and crypto using clear online routes centered around USDT. You can buy crypto with a credit or debit card, sell crypto for fiat, compare pages by currency or country, and choose the route that best suits your card, bank account, or local market conditions.

BryanfUs on Wednesday, June 3, 2026 at 19:22

Darmowy kod promocyjny Mostbet jest dostepny dla nowych uzytkownikow. Wpisujac QWERTY555, gracze otrzymuja darmowy zaklad. Kod promocyjny darmowy zaklad Mostbet dzisiaj pozwala obstawiac bez ryzyka. Bonus powitalny obejmuje rowniez kasyno. To atrakcyjna oferta startowa.
Oficjalna strona Mostbet – kliknij tutaj <a href=https://jonaszolszewski.pl/wp-content/pgs/kod_promocyjny_mostbet_2.html>http://www.konsmetal-poltrezor.com.pl/files/news/mostbet_kod_promocyjny_bez_depozytu_2.html</a>

mippoFub on Wednesday, June 3, 2026 at 22:57

Анапа — жемчужина черноморского побережья, и исследовать её по-настоящему можно только за рулём собственного, пусть и арендованного, автомобиля. Сервис <a href=https://auto-arenda-anapa.ru/>https://auto-arenda-anapa.ru/</a> предлагает прокат без залога, без ограничения пробега и с неограниченной страховкой ОСАГО, что делает каждую поездку абсолютно беззаботной. Детское кресло и видеорегистратор включены в комплектацию, а оформление занимает три простых шага: выбрать автомобиль, отправить документы и указать место подачи. Команда профессионалов CarTrip всегда на связи в мессенджерах и готова ответить на любой вопрос. Путешествуйте свободно!

tawebdruifs on Wednesday, June 3, 2026 at 23:37

Looking to embed a crypto widget on your website? Visit <a href=https://orgtrade.org/>https://orgtrade.org/</a> - OrgTrade helps website owners add a crypto exchange widget to their pages and convert cryptocurrency-related traffic into swap activity. Instead of sending visitors through a simple outbound link, your site can feature an integrated exchange tool where users can select a pair, enter an amount, and initiate a crypto conversion.

rudensciz on Thursday, June 4, 2026 at 00:41

Мото ДВ — официальный интернет-магазин на OZON, специализирующийся на продаже мототехники и сопутствующих товаров для активного отдыха. В ассортименте представлены квадроциклы ведущих брендов, включая модели Hummer 250, Loncin 400 EFI EPS 4x4 и Grizzly 250, а также скутеры серии Armour Pro и Apakani Aerox мощностью 125 куб. см. На странице <a href=https://www.ozon.ru/seller/moto-dv/>https://www.ozon.ru/seller/moto-dv/</a> покупатели найдут технику для различных возрастных категорий — от детских до взрослых моделей с широким диапазоном мощности двигателя и максимальной скорости. Магазин регулярно проводит акции со скидками до 14%, обеспечивает быструю доставку и гарантирует подлинность реализуемой продукции, что подтверждается положительными отзывами клиентов.

pimamylef on Thursday, June 4, 2026 at 02:19

Ищете официального дилера HAVAL в Санкт-Петербурге? Посетите сайт Автопродикс <a href=https://autoprodix-havalpro.ru/>https://autoprodix-havalpro.ru/</a> и вы сможете купить новые кроссоверы и внедорожники H3, H5, H7, H9 по выгодным ценам 2026 года. Модельный ряд в наличии, выгодные кредитные программы, трейд-ин, тест-драйв. Подробнее на сайте.

kofictBlugh on Thursday, June 4, 2026 at 03:49

Если вы любите сериалы и цените возможность смотреть их без интернета в отличном качестве, вам стоит заглянуть на <a href=https://serialexpress.ru/>https://serialexpress.ru/</a> — специализированный интернет-магазин DVD с огромным каталогом отечественных, зарубежных, турецких и азиатских сериалов, теленовелл и мультсериалов. Здесь регулярно появляются новинки, действуют скидки, а доставка осуществляется почтой и курьерской службой СДЭК по всей России.

ganuyithab on Thursday, June 4, 2026 at 04:36

Looking for the most active crypto market movements in one place? Visit <a href=https://topchanges.com/>https://topchanges.com/</a> - TopChanges tracks the most active crypto market movements in one place. See which coins are rising today, which coins are falling today, and which cryptocurrencies are attracting attention in the market. The dashboard combines 24-hour price changes, trading volume, market capitalization, and trend activity to give you a quick overview of today's crypto movers.

girutllZer on Thursday, June 4, 2026 at 06:19

中学生 詩, 神奈川県 高校入試日程, 変格活用 一覧, 茨城県公立高校入試, 八千代松陰 偏差値. ぜひ当社のウェブサイト <a href=https://manalab.jp/>https://manalab.jp/</a> をご覧ください!最新の情報が満載です。日本最大級のポータルサイトで、重要な知識を習得するお手伝いをいたします。

guxoynePer on Thursday, June 4, 2026 at 06:59

Looking for ways to earn cryptocurrency? Visit <a href=https://bestearn.io/>https://bestearn.io/</a> and you'll find a table that helps users compare active yield opportunities across protocols and chains. Instead of reading general advice, visitors can view the current APY, liquidity size, and pool type on a single screen and narrow the list to options that seem more practical for passive crypto income.

corilSoorn on Thursday, June 4, 2026 at 07:42

1TRADE - <a href=https://1trade.io/>https://1trade.io/</a> — an online trading platform for trading currency pairs on financial markets. Intuitive interface and functional trading tools. Advantages of the 1TRADE platform: Demo account for $100,000, Quick Platform Withdrawals, 24/7 support, Minimum deposit $10, Reliable broker, Mobile App.

tikalixlcom on Thursday, June 4, 2026 at 11:26

Looking for a KYC-free way to buy or sell cryptocurrency from 1–100 USDT? Visit <a href=https://coinswaper.io/>https://coinswaper.io/</a> - See what 1, 2, 3, 5, 10, and 100 USDT is available for purchase in top coins, compare small resale amounts, and start a quick USDT swap from a single screen. These preset amounts cover the most common small swap scenarios: a tiny test, a micro-purchase, a quick conversion, or a small sell-off to USDT.

Add a comment

Name:
Email: (optional, not displayed to public)
URL: (do not fill this in — leave blank!)

Comment: