Wie zuverlässig sind $_SERVER-Variablen in der PHP-Sicherheit?

Bewertung der Sicherheit von $_SERVER-Variablen

HTTP-Anfrageheader enthalten häufig Informationen, die vom Benutzer gesteuert werden können. Folglich können viele $_SERVER-Variablen durch böswillige Eingaben beeinträchtigt werden und zu einer Angriffsquelle werden.

Kontrollierte Werte verstehen

Servergesteuerte Variablen wie „SERVER_ADDR“ und „SERVER_SOFTWARE“, werden durch die Serverkonfiguration festgelegt und sind von Natur aus sicher.

Teilweise hängen servergesteuerte Variablen davon ab die Anfrage und haben begrenzte gültige Werte, was sie zuverlässig macht. Beispiele hierfür sind „REMOTE_ADDR“ und „REQUEST_TIME“.

Beliebige benutzergesteuerte Werte

Im Gegensatz dazu können beliebige benutzergesteuerte Werte jede vom Client gesendete Eingabe enthalten. einschließlich potenziell schädlicher Inhalte. Variablen wie „HTTP_USER_AGENT“ und „PHP_SELF“ fallen in diese Kategorie.

Bewertung der Zuverlässigkeit

Die Bestimmung der Zuverlässigkeit von $_SERVER-Variablen hängt von der spezifischen Verwendung und Serverkonfiguration ab . Zum Beispiel:

• 'REMOTE_ADDR' ist im Allgemeinen zuverlässig, kann aber bei DNS-Angriffen gefälscht werden.
• 'HTTP_HOST' kann als sicher angesehen werden, wenn der Server Anfragen mit ungültigen Host-Headern ablehnt.
• 'REQUEST_METHOD' ist zuverlässig, wenn der Server dies zulässt Methoden.

Kategorisierung von $_SERVER-Variablen

• Server gesteuert:
  
  
  
  • 'GATEWAY_INTERFACE'
  
  
  
  • 'SERVER_SOFTWARE'
  
  
  
  • 'SERVER_ADMIN'
  
  
  • 'S ERVER_SIGNATURE'
  
  
  
  
• Teilweise Server kontrolliert:
  
  
  
  • 'HTTPS'
  
  
  • 'REQUEST_TIME'
  
  
  • ' FERNBEDIENUNG _ADDR'
  
  
  • 'REMOTE_HOST'
  
  
  • 'REMOTE_PORT'
  
  
  • 'SERVER_PROTO COL'
  
  
  • 'HTTP_HOST'
  
  
  • 'SERVER_NAME'
  
  
  • 'SCRIPT_FILENAME '
  
  
  • 'SERVER_PORT'
  
  
  • 'SCRIPT_NAME'
  
  
  
  

• Völlig willkürliche, vom Benutzer kontrollierte Werte:
  
  
  
  • 'argv', 'argc'
  
  
  • 'REQUEST_METHOD'
  
  
  • 'QUERY_STRING'
  • 'HTTP_ACCEPT'
  
  
  • 'HTTP_ACCEPT_CHARSET'
  
  
  • 'HTTP_ACCEPT_ENCODING'
  
  
  • 'HTTP_ACCEPT_LANGUAGE'
  
  
  
  • 'HTTP_REFERER'
  
  
  • 'HTTP_USER_ AGENT'
  
  
  • 'AUTH_TYPE'
  
  
  • 'PHP_AUTH_DIGEST'
  
  
  • 'PHP_AUTH_USER'
  
  
  • 'PHP_AUTH_PW'
  
  
  • 'PAT H_INFO'
  
  
  • 'ORIG_PATH_INFO'
  
  
  • 'REQUEST_URI'
  • 'PHP_SELF'
  
  
  • 'PATH_TRANSLATED'
  
  
  • Beliebig anderer 'HTTP_'-Wert
  
  
  
  

Berücksichtigen Sie den Kontext und die möglichen Konsequenzen, bevor Sie einem $_SERVER vertrauen variabel.

Das obige ist der detaillierte Inhalt vonWie zuverlässig sind $_SERVER-Variablen in der PHP-Sicherheit?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!