Vinzenz Mai: Sicherheitshinweis zu AcceptPathInfo und $_SERVER['PHP_SELF']

Beitrag lesen

Hallo Steffen,

Darauf hat sich meine Frage bezogen und $_SERVER['PHP_SELF'] ist keine "incoming data"?!
Deswegen verstehe ich Toms Sicherheitsrisiko nicht.

hier zwei Links, um die Du gebeten hast:

http://seancoates.com/xss-woes
http://blog.oncode.info/2008/05/07/php_self-ist-boese-potentielles-cross-site-scripting-xss/

Vielleicht siehst Du jetzt die Problematik.

Freundliche Grüße

Vinzenz