我正在为访问者创建一个简单的"调试"页面,以便他们能够判断他们刚刚发送到URL的数据.我在想,向访问者显示哪些默认的php变量是安全的?我已经尽了最大努力查看php文档,并亲自查看了内容,以确保不会expose 敏感信息,但我仍然觉得,有经验的人可能知道一些我可能没有考虑到的问题.
我目前的假设是:
-
$_GET、$_POST和$_REQUEST只保存访问者发送给我们的内容,这让我相信向他们显示/转储这些变量的所有内容是完全安全的.
-
$_cookie,我认为这是为访问者设置的cookie,他们的浏览器中无论如何都有cookie,因此向他们显示/转储应该是安全的
-
$_SERVER,显示所有内容并不安全,但显示它们的特定标头(如$_SERVER["HTTP_MY_SPECIAL_HEADER"])应该是安全的
-
$_SESSION,如果不是$_SESSION["IsLoggedIn"]之类的特定内容,就不应该向访问者显示...
你认为这些假设站得住脚吗,或者我在某些情况下泄露了敏感信息,让自己expose 在易受攻击的境地?我认为这将帮助许多新的php开发者避免在future 的trap ,通过了解什么是允许显示的,什么应该远离显示给访问者,谢谢!