3

我有时在 php 函数中使用用户数据,header如下所示:

header('Location : test' . $user_data);

我曾经删除\n\r防止标头注入,但还有其他换行符吗?我在我的例子中写过Location,但它可以是别的东西,我知道我必须验证和清理 URL,我的问题是关于标题中的新行。

4

1 回答 1

4

引用文档

(从 4.4.2 和 5.1.2 开始)此功能现在可以防止一次发送多个标头,以防止标头注入攻击。

所以我想即使你已经做过的 CRLF 替换也没有必要。

于 2012-07-06T13:49:39.667 回答