那些遇到过的问题

安全性:PHP 中的 $_SERVER 数组 sql 注入

luc*_*an5 3 php security header-injection

我编写了一个 PHP 函数来记录$_SERVER数组中的所有内容,如果$_SERVER我的数据库中不存在某个变量,它将添加该列。

我的问题是:这对你来说有多安全?在研究和理解标题信息后,出现了一些问题。

  1. 客户端是否能够修改发送到其浏览器代理或操作系统的服务器的某些变量?
  2. 从自己的服务器托管站点的人能否将代码插入到自己的自定义$_SERVER数组中?

总的来说,我只是在问这听起来到底有多安全,但这些是首先想到的问题。

如果您发现我提出这个问题的方式有任何问题,请在投反对票之前发表评论,我会立即更改。

Byt*_*ter 5

$_SERVER可以被信任。$_SERVER['HTTP_USER_AGENT']包含一个易于用户配置的字符串 - SQL 注入可能。甚至还有用于此目的的浏览器插件。实际上,$_SERVER用户可以更改很多变量,例如也$_SERVER['HTTP_ACCEPT_LANGUAGE'].

看看 Chrome 插件ModHeader

在此处输入图片说明

归档时间:

查看次数:

733 次

最近记录:

10 年,10 月 前
如何在PHP中阻止SQL注入? 2776
更多相关链接
相关归档
获取当前日期,给定PHP的时区? 70
致命错误:命名空间声明语句必须是脚本中的第一个语句 28
我在哪里可以找到故意不安全的开源Web应用程序? 27
如何在Windows中安装apcu 24
如何使用strpos来确定输入字符串中是否存在字符串? 20
如何在Ubuntu服务器中启用带有PHP 7.0的LDAP? 20
编译时变量在 flutter 中安全吗? 8
IPTables不会立即使用ipset阻止IP 5
你怎么锁定一个DLL? 2
打开文件 - 安全警告 1
难疑归档
For-each在JavaScript中的数组? 4448
Python有一个字符串'contains'子串方法吗? 3601
Flash CS4拒绝放手 2735
如何检查字符串是否包含特定单词? 2663
将具有默认值的列添加到SQL Server中的现有表 2648
C#的隐藏功能? 1475
如何删除导出的环境变量? 1439
如何正确强制推送Git? 1206
感叹号在功能之前做了什么? 1190
type()和isinstance()之间有什么区别? 1163