<?php
$curDomain = $_SERVER['HTTP_HOST'];
$strHTML = file_get_contents('http://www./DomainParking.asp?gDomName='.$curDomain);
echo $strHTML
?>
早就在网上看到说file_get_contents不稳定,果然碰到了。。。
另一方面也说明了程序的容错性很差啊。。。
恩,言归正传吧。
碰到的是这个错误:
file_get_contents(http://***.php): failed to open stream: HTTP request failed!
G一下,决定用curl
当前位置: 编程技术>php
本页文章导读:
▪php 获取远程网页内容的函数
<?php $curDomain = $_SERVER['HTTP_HOST']; $strHTML = file_get_contents('http://www./DomainParking.asp?gDomName='.$curDomain); echo $strHTML ?> 早就在网上看到说file_get_contents不稳定,果然碰到了。。。 另一方面也说明.........
▪php 遍历数据表数据并列表横向排列的代码
代码如下:<?php $a = array (1,2,3,4,5,6,7,8,9,10,11); $i = 0; ?> <table border=1> <tr> <? foreach ($a as $k){ if($i%3==0) {//该处表示需要横向排列的列数. echo "</tr><tr>"; } echo "<td>",$k,"</.........
▪不要轻信 PHP_SELF的安全问题
代码如下:<html> <body> <?php if (isset($_REQUEST['submitted']) && $_REQUEST['submitted'] == '1') { echo "Form submitted!"; } ?> <form action="/blog_article/</php echo $_SERVER[.html'PHP_SELF']; ?>"> <input type="hidden" nam.........
[1]php 获取远程网页内容的函数
来源: 互联网 发布时间: 2013-11-30
[2]php 遍历数据表数据并列表横向排列的代码
来源: 互联网 发布时间: 2013-11-30
代码如下:
<?php
$a = array (1,2,3,4,5,6,7,8,9,10,11);
$i = 0;
?>
<table border=1>
<tr>
<?
foreach ($a as $k){
if($i%3==0) {//该处表示需要横向排列的列数.
echo "</tr><tr>";
}
echo "<td>",$k,"</td>";//该处显示该列的数据.
$i ++;
}
?>
</tr>
</table>
[3]不要轻信 PHP_SELF的安全问题
来源: 互联网 发布时间: 2013-11-30
代码如下:
<html>
<body>
<?php
if (isset($_REQUEST['submitted']) && $_REQUEST['submitted'] == '1') {
echo "Form submitted!";
}
?>
<form action="/blog_article/</php echo $_SERVER[.html'PHP_SELF']; ?>">
<input type="hidden" name="submitted" value="1" />
<input type="submit" value="Submit!" />
</form>
</body>
</html>
看似准确无误的代码,但是暗藏着危险。让我们将其保存为 foo.php ,然后放到 PHP 环境中使用
foo.php/%22%3E%3Cscript%3Ealert('xss')%3C/script%3E%3Cfoo
访问,会发现弹出个 Javascript 的 alert -- 这很明显又是个 XSS 的注入漏洞。究其原因,发现是在
echo $_SERVER['PHP_SELF'];
这条语句上直接输出了未过滤的值。追根数源,我们看下 PHP 手册的描述
'PHP_SELF'
The filename of the currently executing script, relative to the document root.
For instance, $_SERVER['PHP_SELF'] in a script at the address
http://example.com/test.php/foo.bar would be /test.php/foo.bar. The __FILE__
constant contains the full path and filename of the current (i.e. included) file.
If PHP is running as a command-line processor this variable contains the script
name since PHP 4.3.0. Previously it was not available.
原因很明确了,原来是 $_SERVER['PHP_SELF'] 虽然“看起来”是服务器提供的环境变量,但这的确和 $_POST 与 $_GET 一样,是可以被用户更改的。
其它类似的变量有很多,比如 $_COOKIE 等(如果用户想“把玩”他们的 cookie,那我们也是没有办法)。解决方案很简单,使用 strip_tags、htmlentities 等此类函数过滤或者转义。
echo htmlentities($_SERVER['PHP_SELF']);
-- Split --
上述的例子让我们需要时刻保持谨慎 coding 的心态。Chris Shiflett 在他的 Blog 总结的相当直白,防止 XSS 的两个基本的安全思想就是
Filter input
Escape output
我将上面翻译成 “过滤输入,转义输出”。详细的内容,可以参考他 Blog 的这篇文章,此处略。
最新技术文章: