Würde diese Umleitung Skript mich für Code-Injektion oder Remote File Inclusion öffnen?
-
23-09-2019 - |
Frage
Vor kurzem lief ich über einen Blog-Artikel über PHP-Skripte mit Affiliate-Links zu umleiten. Es hat mir denken, ob das Skript sicher war oder nicht. Ich habe gehört, dass der $ _GET Variable zu einer Sicherheitslücke führen kann.
würde Irgendwelche Vorschläge geschätzt. Würde die Überprüfung der Eingabe für alphanumerische Zeichen und den Bindestrich ( ‚-‘)? Genug sein, um gegen diese zu schützen
Für dieses Skript in Links Form wären:
http://www.somesite.com/amazon.php?asin=XXXXXXXXXX
oder
http://www.somesite.com/amazon.php?id=some-keyword
Hier ist amazon.php:
<?php
$id = $_GET['id'];
$asin = $_GET['asin'];
if ($asin != NULL)
{
header("Location:http://www.amazon.com/exec/obidos/ASIN/".$asin."/fantasticaffiliate-20");
exit;
}
else
{
$links = array(
"keyword-one" => "http://www.amazon.com/b/?node=1122334455&tag=fantasticaffiliate-20",
"keyword-two" => "http://www.amazon.com/exec/obidos/ASIN/1352434213/fantasticaffiliate-20"
);
header("Location:".$links[$id]);
exit;
}
?>
Danke wie immer!
Lösung
Ja, es würde. Keiner dieser Zeichen in einer beliebigen Kombination ist genug, um ein XSS Problem zu verursachen.
Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow