سلام
كسي مي دونه چه مواردي از $_SERVER قابل جعل هست
سلام
كسي مي دونه چه مواردي از $_SERVER قابل جعل هست
اونایی که اول اسمشون HTTP_ داره چون از هدرهایی که از کلاینت ارسال میشن گرفته میشن، 100% قابل جعل هستن (*).
برای بقیه هم بستگی داره منظور از جعل دقیقا چی باشه.
بعضی از متغییرهای دیگر $_SERVER هم ممکنه بنا به هدف ما قابل جعل محسوب بشن.
مثلا REMOTE_ADDR به یک معنا قابل جعل نیست، چون چنان آدرسی واقعا وجود داره و درخواست از جانب اون آدرس IP ارسال شده (**)، ولی اون آدرس میتونه متعلق به یک پراکسی باشه و از این دیدگاه میتونیم بگیم ممکنه IP واقعی کلاینت نباشه. ولی بهرصورت آدرس یک ماشینی هست که واقعا وجود داره و درخواست رو به سرور ما ارسال کرده.
*: البته استثنایی که بنظرم میرسه HTTP_HOST است که بنا به دلایلی که دیگه توضیح نمیدم، در بیشتر موارد میشه گفت جعلی نیست (بهرصورت هم معمولا برنامه نویسها باهاش کاری ندارن).
**: مگر در حمله های خیلی پیشرفته و کمیاب، که معمولا از جانب حکومتها یا کسانی صورت میگیره که دسترسی کامل به کانال ارتباطی دارن.
سلام
بعضیها قابل جعل هستن که دوستمون گفتن ولی برخی دیگه ای از اندیس ها هم دارای حفره امنیتی هستن مثلا PHP_SELF