PHP $ _SERVER değişkenleri kullanıcı tarafından değiştirilebilir mi?

2 Cevap

Ben yazıyorum bir mvc framework için SCRIPT_FILENAME'e gibi $ _SERVER değişkenleri kullanmak gerekir. Bir kullanıcı bu gibi şeyleri değiştirebilirsiniz merak ediyorum. Kullanıcı index.php istekleri demek, olabilir bunlar sahte SCRIPT_FILENAME değişken ve üzerinden gönderilen başka bir şey için yeniden adlandırın?

2 Cevap

Bazı $_SERVER değerleri diğerleri değil, güvenlidir. Güvensiz olanları çoğunlukla HTTP_ ile başlar ve kullanıcının tarayıcısı tarafından gönderilen HTTP başlıklarını vardır.

Evet, bu mümkün değildir.

Bkz this post: How to bypass the REFERER security check.

PHP $ _SERVER değişkenleri kullanıcı tarafından değiştirilebilir mi?

2 Cevap

etiketler