7

$_SERVER['REMOTE_USER'] 変数に基づいてファイルを開いている状況があります。これはスプーフィング可能ではないと思いますが、確認したいだけです。任意のファイルの読み取りに対して脆弱になりたくありません。

   <?
      $user = $_SERVER['REMOTE_USER'];
      $fp = fopen("./$user.png","r");
   ?>
4

1 に答える 1

4

はい、そのユーザー名は、リモート ユーザーによって指定されたものです。

パスワードも確認する必要があります。パスワードがアプリケーションではなくサーバーによって検証された場合、おそらく問題ありません。

于 2012-10-17T19:41:48.783 に答える