phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Zeitkontrolle

Peter Prochaska peter.prochaska at datev.de
Die Okt 11 13:53:25 CEST 2005

Vorherige Nachricht: [php] Zeitkontrolle
Nächste Nachricht: [php] Zeitkontrolle
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Hi,

Sebastian Mendel wrote:
> Ohne jetzt den ganzen Thread zu lesen,  was bestimmt auch für diese 
> Aussage nicht nötig ist: Wieso?

Was viele nicht wissen ist, dass an $_SERVER['PHP_SELF'] ein Anhängen 
von bösem js-Code möglich ist.

http://www.example.com/index.php/"><script>alert('XSS')</script><

Verwendest du dann $_SERVER['PHP_SELF'] in einem Form-Tag, sieht das 
Ganze so aus:

<form action="index.php/"><script>alert('XSS')</script>< method="POST">

Gruss
-- 
Peter Prochaska
Internet- und Securitydienste, P544
DATEV eG
Tel: +49 911 276-5187

Vorherige Nachricht: [php] Zeitkontrolle
Nächste Nachricht: [php] Zeitkontrolle
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive