这会重定向脚本打开了我的代码注入或远程文件包含？

Question

最近我碰到一个博客文章跑了关于使用PHP脚本来重定向会员链接。这让我开始思考这个剧本是否安全与否。我听说使用$ _GET变量可能导致的漏洞。

任何建议，将不胜感激。将检查字母数字输入和连字符（“ - ”）？足以防止这种

有关这个脚本，在链接将是以下形式：

http://www.somesite.com/amazon.php?asin=XXXXXXXXXX

或

http://www.somesite.com/amazon.php?id=some-keyword

下面是amazon.php：

   <?php

    $id = $_GET['id'];
    $asin = $_GET['asin'];

    if ($asin != NULL)
    {
        header("Location:http://www.amazon.com/exec/obidos/ASIN/".$asin."/fantasticaffiliate-20");
        exit;
    }

    else
    {
        $links = array(
            "keyword-one" => "http://www.amazon.com/b/?node=1122334455&tag=fantasticaffiliate-20",
            "keyword-two" => "http://www.amazon.com/exec/obidos/ASIN/1352434213/fantasticaffiliate-20"
            );          

        header("Location:".$links[$id]);
        exit;
    }

?>

感谢一如既往！

Answer 1

是，它会。以任何组合这些字符都不是足以引起XSS问题。