Sarebbe questo script di reindirizzamento mi aprirà per iniezione di codice o l'inclusione di file remoti?
-
23-09-2019 - |
Domanda
Di recente mi sono imbattuto in un articolo del blog sull'utilizzo di script PHP per reindirizzare i link di affiliazione. Mi ha fatto pensare se questo script è sicuro o meno. Ho sentito dire che utilizzando la variabile $ _GET può portare a una vulnerabilità.
Tutti i suggerimenti sarebbero apprezzati. Sarebbe controllando l'input per caratteri alfanumerici e il trattino ( '-')? Essere sufficiente per difendersi da questo
Per questo script, i collegamenti in sarebbe di forma:
http://www.somesite.com/amazon.php?asin=XXXXXXXXXX
o
http://www.somesite.com/amazon.php?id=some-keyword
Ecco amazon.php:
<?php
$id = $_GET['id'];
$asin = $_GET['asin'];
if ($asin != NULL)
{
header("Location:http://www.amazon.com/exec/obidos/ASIN/".$asin."/fantasticaffiliate-20");
exit;
}
else
{
$links = array(
"keyword-one" => "http://www.amazon.com/b/?node=1122334455&tag=fantasticaffiliate-20",
"keyword-two" => "http://www.amazon.com/exec/obidos/ASIN/1352434213/fantasticaffiliate-20"
);
header("Location:".$links[$id]);
exit;
}
?>
Grazie come sempre!
Soluzione
Sì, sarebbe. Nessuno di quei personaggi in qualsiasi combinazione è sufficiente a causare un problema XSS.