1

最近我看到一篇关于使用 PHP 脚本重定向附属链接的博客文章。这让我开始思考这个脚本是否安全。我听说使用 $_GET 变量会导致漏洞。

任何建议,将不胜感激。检查输入的字母数字和连字符('-')是否足以防止这种情况发生?

对于此脚本,其中的链接将采用以下形式:

http://www.somesite.com/amazon.php?asin=XXXXXXXXXX

或者

http://www.somesite.com/amazon.php?id=some-keyword

这是amazon.php:

   <?php

    $id = $_GET['id'];
    $asin = $_GET['asin'];

    if ($asin != NULL)
    {
        header("Location:http://www.amazon.com/exec/obidos/ASIN/".$asin."/fantasticaffiliate-20");
        exit;
    }

    else
    {
        $links = array(
            "keyword-one" => "http://www.amazon.com/b/?node=1122334455&tag=fantasticaffiliate-20",
            "keyword-two" => "http://www.amazon.com/exec/obidos/ASIN/1352434213/fantasticaffiliate-20"
            );          

        header("Location:".$links[$id]);
        exit;
    }

?>

一如既往的感谢!

4

1 回答 1

1

是的,它会的。这些字符的任何组合都不足以导致 XSS 问题。

于 2010-01-29T04:21:57.797 回答