متغیر $_SERVER["PHP_SELF"] می تواند توسط هکرها استفاده شود!
اگر از PHP_SELF در صفحه شما استفاده می شود، کاربر می تواند یک اسلش (/) وارد کند و سپس
برخی از دستورات Cross Site Scripting (XSS) برای اجرا.
اسکریپت بین سایتی (XSS) نوعی آسیب پذیری امنیتی رایانه است
معمولا در برنامه های کاربردی وب یافت می شود. XSS مهاجمان را قادر می سازد تا سمت مشتری را تزریق کنند
اسکریپت در صفحات وب مشاهده شده توسط سایر کاربران.
فرض کنید فرم زیر را در صفحه ای به نام "test_form.php" داریم:
<form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>">
اکنون، اگر کاربر URL معمولی را در نوار آدرس وارد کند
"http://www.example.com/test_form.php"، کد بالا به:
<form method="post" action="test_form.php">
تا اینجا، خیلی خوب است.
با این حال، در نظر بگیرید که یک کاربر URL زیر را در نوار آدرس وارد می کند:
http://www.example.com/test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E
در این صورت، کد بالا به:
ترجمه خواهد شد<form method="post" action="test_form.php/"><script>alert('hacked')</script>
این کد یک تگ اسکریپت و یک فرمان هشدار اضافه می کند. و هنگامی که صفحه بارگذاری می شود،
کد جاوا اسکریپت اجرا خواهد شد (کاربر یک جعبه هشدار را مشاهده خواهد کرد). این فقط ساده است
و مثال بی خطری که چگونه می توان از متغیر PHP_SELF سوء استفاده کرد.
آگاه باشید که هر کد جاوا اسکریپت را می توان در داخل آن اضافه کرد
<اسکریپت> برچسب یک هکر می تواند کاربر را به فایلی در سرور دیگری هدایت کند،
و آن فایل می تواند کدهای مخرب را در خود نگه دارد
که می تواند متغیرهای سراسری را تغییر دهد یا فرم را به دیگری ارسال کند
آدرس برای ذخیره داده های کاربر، به عنوان مثال.