这会重定向脚本打开了我的代码注入或远程文件包含?
-
23-09-2019 - |
题
最近我碰到一个博客文章跑了关于使用PHP脚本来重定向会员链接。这让我开始思考这个剧本是否安全与否。我听说使用$ _GET变量可能导致的漏洞。
任何建议,将不胜感激。将检查字母数字输入和连字符(“ - ”)?足以防止这种
有关这个脚本,在链接将是以下形式:
http://www.somesite.com/amazon.php?asin=XXXXXXXXXX
或
http://www.somesite.com/amazon.php?id=some-keyword
下面是amazon.php:
<?php
$id = $_GET['id'];
$asin = $_GET['asin'];
if ($asin != NULL)
{
header("Location:http://www.amazon.com/exec/obidos/ASIN/".$asin."/fantasticaffiliate-20");
exit;
}
else
{
$links = array(
"keyword-one" => "http://www.amazon.com/b/?node=1122334455&tag=fantasticaffiliate-20",
"keyword-two" => "http://www.amazon.com/exec/obidos/ASIN/1352434213/fantasticaffiliate-20"
);
header("Location:".$links[$id]);
exit;
}
?>
感谢一如既往!
解决方案
是,它会。以任何组合这些字符都不是足以引起XSS问题。
不隶属于 StackOverflow