1
我在我的主服務器上創建一個腳本,並將使用js/html將其稱爲圖像源,傳遞當前的tumblr頁面的引用變量,以便將我的博客統計信息整合到我的主要統計跟蹤數據庫中。足夠的檢查/驗證url變量傳遞給php腳本在url中?
任何查看源代碼的人當然都可以看到這個腳本可以通過get來接受一個url變量。我沒有太大的安全書呆子,但我使用輸入下列檢查這個變種,目前:
$previous_referrer = htmlspecialchars($_GET['ref']);
if (filter_var($previous_referrer, FILTER_VALIDATE_URL) && strpos($_SERVER['HTTP_REFERER'], $tumblelog_url)!== FALSE)
我猜它不是這麼簡單。其他檢查應該執行什麼措施來防止注入攻擊?