可以注入$_SERVER['SERVER_PROTOCOL']吗?
可以注入$_SERVER['SERVER_PROTOCOL']吗?
提问于 2015-05-18 21:54:32
我正在运行一个使用Apache+mod_fastcgi的PHP网站。Apache错误日志中有一个错误:
malformed header from script 'ajax.php': Bad header: /;ls -la HTTP/1.0 400 Bad Requ下面是ajax.php中唯一一段发送头部的代码:
if(!isset($_POST['action'])) {
header ($_SERVER['SERVER_PROTOCOL'] . ' 400 Bad Request');
exit;
}那么/;ls -la是从哪里来的呢?可以以任何方式注入SERVER_PROTOCOL吗?
回答 1
Stack Overflow用户
发布于 2015-05-21 17:29:15
有两个特殊情况的头调用。第一个是以字符串" HTTP /“开头的标头(大小写不重要),它将用于确定要发送的HTTP状态代码。(来自PHP header documentation)
因此,发送上述状态代码的正确(且安全)方法是:
header('HTTP/1.1 400 Bad Request');使用HTTP/1.0还是HTTP/1.1并不重要。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/30305119
复制相关文章
相似问题
腾讯云开发者
