0

我有一个 as3 脚本,它使用查询字符串加载 PHP 脚本的 urlrequest,但我不确定它是否正常工作。

AS3:

userLoad=new URLLoader;
userReq=new URLRequest("http://users/redirect.php?goto=u"+meFB+"/char.xml");
userLoad.addEventListener(Event.COMPLETE,userLoaded);`

PHP:

$goto=$_REQUEST['goto'];
return readfile($goto);`

我最近在路径中添加了一个目录,它似乎不再工作了......

因为我只需要 94 分来回答我自己的问题,我将把答案留在这里:没试过,但我真的认为通过查询传递给 php 的字符串必须避免斜杠空格和其他字符,而是使用 char 编码。如果有人肯定知道,请留下答案。我只是避免了斜线并且像魅力一样工作。请求方法也是你们所说的安全漏洞吗?我对 php 不是很好,所以我不知道,但我可以更改它以获取是否更好。感谢您的回答和评论顺便说一句。

4

1 回答 1

2

还有其他方法可以做到这一点,但这很容易理解并且不是安全漏洞。(当我们说安全漏洞时,您当前的代码将使任何人都可以轻松地完全访问您的系统。)

这里的技巧是路径中的硬编码。

<?php
switch($_GET['goto']){
    case 'char':
    readfile('char.xml');
    break;

    case 'uchar1':
    readfile('directory/uchar.xml');
    break;

// repeat for all files
}
?>
于 2012-05-01T20:30:21.140 回答