Thread [PHP] Sicherheitslücke mod_rewrite + Regelparameter QSA (2 answers)
Opened by rosti at 2014-10-07 13:16

GwenDragon
 2014-10-07 13:34
#177687 #177687
User since
2005-01-17
14748 Artikel
Admin1
[Homepage]
user image
QSA ist bei Rewriteketten im Apache ein ziemliches Risiko, weil die meisten Leute einfach nicht wissen wie die Parameter intern in den Programmen verarbeitet werden.
Deswegen sollte mam das sorglose verwenden von $_GET in Programmen unterbinden.

Ich halte es sinnvoller, auf PATH_INFO zu bauen, um die verschiedenen Anwendungen zu routen, notfalls bei Parametern im Querystring diesen zu löschen bzw. den Zugriff auf nicht zuzulassen.
Und den Zugang nicht per Auth Basic vom Apache zu regeln sondern in der Anwendung selbst.

View full thread [PHP] Sicherheitslücke mod_rewrite + Regelparameter QSA