Würde diese Umleitung Skript mich für Code-Injektion oder Remote File Inclusion öffnen?

Question

Vor kurzem lief ich über einen Blog-Artikel über PHP-Skripte mit Affiliate-Links zu umleiten. Es hat mir denken, ob das Skript sicher war oder nicht. Ich habe gehört, dass der $ _GET Variable zu einer Sicherheitslücke führen kann.

würde Irgendwelche Vorschläge geschätzt. Würde die Überprüfung der Eingabe für alphanumerische Zeichen und den Bindestrich ( ‚-‘)? Genug sein, um gegen diese zu schützen

Für dieses Skript in Links Form wären:

http://www.somesite.com/amazon.php?asin=XXXXXXXXXX

oder

http://www.somesite.com/amazon.php?id=some-keyword

Hier ist amazon.php:

   <?php

    $id = $_GET['id'];
    $asin = $_GET['asin'];

    if ($asin != NULL)
    {
        header("Location:http://www.amazon.com/exec/obidos/ASIN/".$asin."/fantasticaffiliate-20");
        exit;
    }

    else
    {
        $links = array(
            "keyword-one" => "http://www.amazon.com/b/?node=1122334455&tag=fantasticaffiliate-20",
            "keyword-two" => "http://www.amazon.com/exec/obidos/ASIN/1352434213/fantasticaffiliate-20"
            );          

        header("Location:".$links[$id]);
        exit;
    }

?>

Danke wie immer!

Answer 1

Ja, es würde. Keiner dieser Zeichen in einer beliebigen Kombination ist genug, um ein XSS Problem zu verursachen.