在 PHP 中,远程文件包含可以通过来自 $_GET
、$_POST
、$_COOKIE
的输入进行。我知道这是不可能的,但是否有可能(有机会)伪造来自 $_SERVER
的值?
我的意思是,即使在极少数情况下,$_SERVER
也能成为远程文件包含的来源吗?
最佳答案
$_SERVER 是一个数组,包含用于访问请求的路径、 header 等信息。
许多值由用户直接设置和操作(例如 QUERY_STRING),因此它可能会以与 $_GET 和 $_POST 完全相同的方式受到攻击。不过,这取决于您如何在自己的代码中使用这些值。
您是否有不想伪造的特定 $_SERVER 索引?
关于php - $_SERVER 可以在 PHP 中伪造吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8804142/