7
我有一種情況,我打開基於$ _SERVER ['REMOTE_USER']變量的文件。我不認爲這是可欺騙的,但只是想證實。我不想讓自己容易受到任意文件的讀取:
<?
$user = $_SERVER['REMOTE_USER'];
$fp = fopen("./$user.png","r");
?>
A
回答
4
是的,那個用戶名是遠程用戶指定的。
您還需要驗證密碼。如果你的服務器驗證了密碼,而不是你的應用程序,那麼你可能沒問題。
相關問題
- 1. 可以欺騙UIScrollView嗎?
- 2. 我們可以用php cURL來欺騙$ _SERVER ['REMOTE_ADDR']/user ip嗎?
- 3. 可以Request.UserHostAddress.ToString()被欺騙嗎? asp.net 4.0 - iis 7.5
- 4. 防止IP欺騙
- 5. ARP欺騙/ DNS欺騙 - 區別
- 6. 我可以欺騙numpy.histogram行爲像numpy.bincount?
- 7. 是否可以欺騙HttpRequest.UserHostAddress(REMOTE_ADDR)?
- 8. 是否可以欺騙@media打印?
- 9. Request.IsLocal是安全的還是可以被欺騙的?
- 10. python的math.ceil函數可以從浮點表示錯誤中被欺騙嗎?
- 11. 在iOS sdk中可以使用GPS欺騙嗎?
- 12. Chrome可以欺騙用戶代理和操作系統嗎?
- 13. 我們可以防止/避免gps欺騙嗎?
- 14. 我可以欺騙jQuery文本()函數來接受HTML嗎?
- 15. 欺騙Javascript.location.hostname
- 16. 與欺騙
- 17. 欺騙SQL Server
- 18. 欺騙libdc1394
- 19. 欺騙$ _SERVER ['HTTPS']在本地wamp服務器上進行測試
- 20. MIME類型欺騙
- 21. ICMP欺騙幫助
- 22. 主機頭欺騙
- 23. IP地址欺騙
- 24. Facebook安全 - 欺騙?
- 25. 欺騙反射器
- 26. 用SinonJS欺騙API?
- 27. 會話欺騙(PHP)
- 28. 防止欺騙形式
- 29. 在Opera中欺騙UserAgent
- 30. 軟件arp中毒,mac欺騙,ip欺騙
Web服務器通常設置REMOTE_USER,而不是客戶端... –
@MichaelBerkowski,是的,讓我澄清一下...... $ _SERVER中的任何內容都來自服務器,但是在REMOTE_USER鍵中顯示的內容直接來自爲認證提供的客戶端信息。 – Brad
是的,但服務器不會在沒有成功驗證的情況下填充REMOTE_USER,所以在沒有其他安全失敗的情況下不能任意填充。 –