假设我们有一个网站询问用户的姓名。
然后,网站将该值存储在 cookie 中,并在下一页上通过 PHP 检索该值并以某种方式使用它(可能该页面将名称显示为文本)。
用户是否可以修改cookie数据来注入恶意代码?脚本检索 cookie 数据时是否应该对其进行清理?
(这是一个假设的场景。显然这里不需要 cookie。)
用户是否可以修改cookie数据来注入恶意代码?脚本检索 cookie 时是否应该对其进行清理?
注入恶意代码?不是 PHP 代码,但您应该在使用 cookie 值之前对其进行清理,这是正确的。
用户可以轻松修改、添加和删除 Cookie,因此应将其视为不受信任的用户输入。它们与任何其他用户输入一样容易出现 XSS 和 SQL 注入漏洞。
此外,除非您使用 SSL,否则 cookie 与请求中的 GET 或 POST 数据一样容易被嗅探。恶意互联网服务可以拦截或修改 cookie。另请参阅火羊 http://en.wikipedia.org/wiki/Firesheep有关 cookie 如何被滥用和不信任的示例。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)