我需要为我正在编写的mvc框架使用$ _SERVER变量,比如SCRIPT_FILENAME。我想知道用户是否可以改变这样的事情。假设用户请求index.php,他们是否可以伪造SCRIPT_FILENAME变量并将其重命名为其他正在发送的变量?
答案 0 :(得分:4)
某些$_SERVER值是安全的,有些则不是。不安全的主要以HTTP_开头,并且是用户浏览器发送的HTTP标头。
答案 1 :(得分:1)
是的,这是可能的。
答案 2 :(得分:0)
假设用户无权访问通过另一个脚本重新指导脚本执行或访问服务器的某种方式,我会说不。
此外,如果您真的担心这一点,可以使用不依赖于用户数据的__FILE__。