Quelles variables $_SERVER peuvent être utilisées en toute sécurité en PHP ?

Identification des variables $_SERVER sûres

Les attaquants peuvent exploiter les variables que les utilisateurs peuvent contrôler, les rendant dangereuses ou « entachées ». Cet article vise à fournir une liste complète des variables $_SERVER et de leurs niveaux de sécurité respectifs.

Contrôlé par le serveur

Ces variables sont définies par le serveur et ne sont pas affectées par l'utilisateur. entrée :

• 'GATEWAY_INTERFACE'
• 'SERVER_ADDR'
• 'SERVER_SOFTWARE'
• 'DOCUMENT_ROOT'
• 'SERVER_ADMIN'
• 'SERVER_SIGNATURE'

Partiellement contrôlé par le serveur

Ces variables dépendent de la demande du client mais ont des valeurs valides limitées, ce qui les rend fiables :

• 'HTTPS'
• 'REQUEST_TIME'
• 'REMOTE_ADDR' (vérifié par prise de contact TCP/IP)
• 'REMOTE_HOST' (potentiellement usurpable )
• 'REMOTE_PORT'
• 'SERVER_PROTOCOL'
• 'HTTP_HOST' (Si non géré par le serveur)
• 'SERVER_NAME'
• 'SCRIPT_FILENAME'
• 'SERVER_PORT'
• 'SCRIPT_NAME'

Contrôlé par l'utilisateur entièrement arbitraire

Ces variables sont vulnérable à la manipulation de l'utilisateur :

• 'argv', 'argc'
• 'REQUEST_METHOD'
• 'QUERY_STRING'
• 'HTTP_ACCEPT'
• 'HTTP_ACCEPT_CHARSET'
• 'HTTP_ACCEPT_ENCODING'
• 'HTTP_ACCEPT_LANGUAGE'
• 'HTTP_CONNECTION'
• 'HTTP_REFERER'
• ' HTTP_USER_AGENT'
• 'AUTH_TYPE'
• 'PHP_AUTH_DIGEST'
• 'PHP_AUTH_USER'
• 'PHP_AUTH_PW'
• 'PATH_INFO'
• 'ORIG_PATH_INFO'
• 'REQUEST_URI' (Peut contenir des données corrompues)
• 'PHP_SELF' (Peut contenir des données corrompues)
• 'PATH_TRANSLATED'
• Toute autre valeur 'HTTP_'

Variables d'environnement

La sécurité des variables d'environnement dépend de leur source. Ils peuvent aller de entièrement contrôlés par le serveur à entièrement contrôlés par l'utilisateur.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!