我有一个php的网站,包括()将内容嵌入到模板中.要加载的页面在get参数中给出,我将".php"添加到参数的末尾并包含该页面.我需要做一些安全检查以避免XSS或其他东西(不是mysql注入,因为我们没有数据库).我想出的是以下内容.
$page = $_GET['page'];
if(!strpos(strtolower($page), 'http') || !strpos($page, '/') ||
!strpos($page, '\\') || !strpos($page, '..')) {
//append ".php" to $page and include the page
我还能做些什么来进一步消毒我的输入吗?
$page = preg_replace('/[^-a-zA-Z0-9_]/', '', $_GET['page']);
可能是消毒的最快方法,这将采取任何措施,并确保它只包含字母,数字,下划线或破折号.
不要"消毒" - 攻击特定于数据的使用,而不是源.改为输出它们时转义值.另请参阅我的回答什么是用PHP清理用户输入的最佳方法?
京公网安备 11010802040832号 | 京ICP备19059560号-6 