$_SERVER['PHP_SELF'] et injection de code HTML (création site internet)

noreply@ab-d.fr ( Benoit Asselin ) — Sun, 02 Mar 2008 04:24:24 +0100

Cette faille de sécurité n'est pas nouvelle en soit, mais il est parfois bon de faire un petit rappel. De manière générale, ne faites jamais confiance aux variables $_SERVER, $_COOKIE, mais aussi, $_GET, $_POST, $_REQUEST, $_FILES...

Exemple de faille avec dans la page php suivante :





	
	$_SERVER['PHP_SELF']


	
		
			Ma FORM

Si vous appelez la page ci-dessus avec le lien suivant :

http://www.monsite.com/page.php/">

vous verrez une belle fenêtre de dialogue Javascript "Injection!" ...

Pour remédier à cette faille de sécurité, pensez à toujours sécuriser vos variables avec une fonction du type htmlentities().

Retour à La Source • Tag: Securite • RSS

$_SERVER['PHP_SELF'] et injection de code HTML (création site internet)