php表单注入攻击失败 产生404错误

huangaiyuan

假设我们的一张名为 "test_form.php" 的页面中有如下表单：
<form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>">
现在，如果用户进入的是地址栏中正常的 URL：......./test_form.php"，上面的代码会转换为：
<form method="post" action="test_form.php">
到目前，一切正常。
不过，如果用户在地址栏中键入了如下 URL：
....../test_form.php/%22%3E%3Cscript%3Ealert[/url][/url]('hacked')%3C/script%3E
在这种情况下，上面的代码会转换为：
<form method="post" action="test_form.php"/><script>alert('hacked')</script>

这是教程上介绍的，我觉得也是可以的，我试过只要是完整的<sctript>都会执行，但是这里我提交之后会产生404错误，我昨天看到一个帖子是说这样的表单提交即使目录不存在也是不会产生404not found错误的？能帮忙解释下么？？？

shang2010

什么是404错误是，弱弱问一下一下

weishuo1999

这个和php取$_SERVER["PHP_SELF"]的逻辑有关吧，你抓一下包，看看浏览器认为的实际访问地址到底是什么

beckheng

看下服务器怎样分派你的URL吧。