Сегодня хотел бы рассказать про одну брешь в безопасности, которая довольно часто встречается с исходных кодах многих проектов. Это перевод в моей вольной интерпретации и с комментариями статьи Mark Jaquith. Статья написана главным образом для разработчиков плагинов к WordPress, но может быть полезна и для остальных разработчиков на PHP. Речь пойдет про опасность использования переменных $_SERVER['PHP_SELF'] и $_SERVER['REQUEST_URI']. Самый простой пример их использования – атрибут action в формах:
<form action="<?php echo $_SERVER['PHP_SELF']; ?>">
Впрочем, часто переменную используют и в ссылках:
<a href="<?php echo $_SERVER['PHP_SELF']' ?>?id=2">link</a>
[ad#ad-1]
Read the rest of this entry »