Problema de seguridad con la acción de formulario $ _SERVER ['PHP_SELF']

Navega tus respuestas
1

Leí que hay un posible problema de seguridad con formularios como este (acción $_SERVER['PHP_SELF'] ) 

<form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post">
    <input type="text" name="search">
    <input type="submit" value="Suchen">
</form>

¿Podría alguien explicar cómo se podría manipular esto? ¿Podría esto de alguna manera convertirse en un problema de seguridad? Personalmente uso $_SERVER['REQUEST_URI']; como acción para acciones de formulario en la misma página.

    
pregunta Top Questions 12.03.2015 - 10:16
fuente

1 respuesta

2

Piense en lo siguiente: 


    http://www.example.com/foo.php/">script>alert('hello');/script>

Todavía cargará tu página, pero también la incluirá en la salida. 


    form method="POST" action="/foo.php/">alert('hello');/script>">
        
    /form>
    
respondido por el user70127 12.03.2015 - 13:59
fuente

Lea otras preguntas en las etiquetas

ModSecurity se comporta de forma divertida en apache2.4 en ubuntu 14.04 Escáneres de vulnerabilidades múltiples en el mismo destino