【发布时间】:2011-02-09 16:29:14
【问题描述】:
如果我做这样的事情,在我的网站上的管理员登录页面上
http://www.domain.com/admin/index.php/%22onclick=document.location="http://www.google.com">
然后单击页面实际重定向的位置。我在某处读到需要过滤元字符。但经过数小时的谷歌搜索后,我无法找到如何阻止这种情况。从我看到的以上内容不是获取或发布。我怎样才能阻止这样的事情?
【问题讨论】:
-
我不认为我理解这个问题。您是说您正在输入该 URL 并创建一个带有该 URL 的链接,还是您是说您正在将其输入到浏览器中?
-
以及如何将原始查询参数嵌入到您的页面中。你在做类似
echo $_GET的事情吗?永远不要接受原始用户输入并将其用于输出。 -
@marc,我在做 在表单操作中。我最终发现我必须做类似 代替。 @Cfreak,我在浏览器的 url 中输入了它。
-
PHP_SELF 不应该仅仅因为这个原因而被使用 - 它包含原始的用户提供的查询字符串,正如您所看到的,它完全容易受到黑客攻击。