我一直在尋找嘗試找到解決方案的地方。我最近在我們的網站上運行掃描,發現XSS和SQL注入的任何漏洞。一些項目已經引起了我的注意。PHP腳本中的XSS漏洞
用戶輸入的任何數據現在都使用filter_var()進行驗證和消毒。
現在我的問題是XSS和操縱URL的人。簡單的一個,這似乎是無處不在的是:
http://www.domainname.com/script.php/">< script>alert('xss');</script>
這就改變了一些$_SERVER
變量,導致我所有的相對路徑CSS,鏈接,圖片等。爲無效和頁面沒有按」 t正確加載。
我清理腳本中使用的任何變量,但我不知道如何避免在URL中刪除這些不需要的數據。
在此先感謝。
增加: 這進而導致在模板文件中一個簡單的鏈接:
<a href="anotherpage.php">Link</a>
實際鏈接:
「http://www.domainname.com/script.php/」 > < script> alert('xss'); </SCRIPT> /anotherpage.php
消毒用戶輸入;永遠不要相信它 – Adrian 2012-01-06 21:38:56
我究竟在做什麼消毒,我沒有把這個輸入用於任何用途。如果它不是我想要的變量,我只想讓它忽略。 – cosmoba 2012-01-06 21:49:34