代码之家  ›  专栏  ›  技术社区  ›  John

这个重定向脚本会为代码注入或远程文件包含打开我的窗口吗?

remote-file-inclusion code-injection redirect php
  •  1
  • John  · 技术社区  · 16 年前

    最近我在博客上看到一篇关于使用PHP脚本重定向附属链接的文章。这让我思考这个脚本是否安全。我听说使用$\u GET变量会导致漏洞。

    对于此脚本,中的链接将采用以下形式:

    http://www.somesite.com/amazon.php?asin=XXXXXXXXXX

    http://www.somesite.com/amazon.php?id=some-keyword

    这里是amazon.php: 

       <?php

    $id = $_GET['id'];
    $asin = $_GET['asin'];

    if ($asin != NULL)
    {
        header("Location:http://www.amazon.com/exec/obidos/ASIN/".$asin."/fantasticaffiliate-20");
        exit;
    }

    else
    {
        $links = array(
            "keyword-one" => "http://www.amazon.com/b/?node=1122334455&tag=fantasticaffiliate-20",
            "keyword-two" => "http://www.amazon.com/exec/obidos/ASIN/1352434213/fantasticaffiliate-20"
            );          

        header("Location:".$links[$id]);
        exit;
    }

?>

    1 回复  |  直到 16 年前
        1
  •  1
  •   Ignacio Vazquez-Abrams    16 年前

    是的,会的。任何组合中的这些字符都不足以导致XSS问题。

    推荐文章
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号