可以欺骗$ _SERVER ['REMOTE_USER']吗?

时间:2012-10-17 19:39:20

标签: php security cgi

我遇到的情况是我打开一个基于$ _SERVER ['REMOTE_USER']变量的文件。我认为这不是恶搞,但我想确认一下。我不想让自己容易阅读任意文件:

   <?
      $user = $_SERVER['REMOTE_USER'];
      $fp = fopen("./$user.png","r");
   ?>

1 个答案:

答案 0 :(得分:4)

是的,该用户名是远程用户指定的任何用户名。

您还需要验证密码。如果您的服务器验证了密码,而不是您的应用程序,那么您可能没问题。