I've got this code on my page:
header("Location: $page");
$page is passed to the script as a GET variable, do I need any security? (if so what)
I was going to just use addslashes() but that would stuff up the URL...
通过$ _GET注册位置标头的php安全性
- 写回答
- 好问题 0 提建议
- 关注问题
分享- 邀请回答
-
4条回答 默认 最新
- dongshushi5579 2009-05-22 12:21关注
I could forward your users anywhere I like if I get them to click a link, which is definitely a big security flaw (Please login on www.yoursite.com?page=badsite.com). Now think of a scenario where badsite.com looks exactly like your site, except that it catches your user's credentials.
You're better off defining a
$urlsarray in your code and passing only the index to an entry in that array, for example:$urls = array( 'pageName1' => '/link/to/page/number/1', 'pageNumber2' => '/link/to/page/number/2', 'fancyPageName3' => '/link/to/page/number/3', ); # Now your URL can look like this: # www.yoursite.com?page=pageName1本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报 分享
- 2021-03-25 10:31堕落的猴子的博客 标签以将表单数据发送...该数据由预定义的$_GET变量收集以进行处理。使用GET方法从HTML表单发送的信息对浏览器的地址栏中的所有人都是可见的,这意味着所有变量名称及其值都将显示在URL中。因此,get方法不能保证发...
- 2022-03-21 16:07huang0c的博客 一、命令执行介绍 ...在PHP中具有执行系统命令功能的函数如下: 1、system 2、exec 3、shell_exec 4、passthru 5、popen 6、proc_popen 7、`反引号 8、ob_start 9、mail函数+LD_PRELOAD执行系统命令 使用示例: L
- 2021-04-09 10:27Gemininadal的博客 原标题:在PHP中,cookie和session的使用 cookie简介Cookie是存储在客户端浏览器中的数据,我们通过Cookie来跟踪与存储用户数据。一般情况下,Cookie通过HTTP headers从服务端返回到客户端。多数web程序都支持Cookie...
- 2020-01-01 10:43asdfgh0077的博客 我使用以下代码来获取完整的URL: $actual_link = 'http://'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']; 问题是我在.h
- 2023-11-17 21:05信安成长日记的博客 在 php4.2.0 后默认为 off,如果为 on,需要为每个变量初始化,get,post,cookie等变量直接被注册为全局变量,比如表单的username,程序中使用 $username 就能获取到值,不需 $_POST 来获取值。
- 2021-04-28 08:34阿玛粽子的博客 一、命令执行/写shellevalfputs1fputs(fopen('t.php','w'),'')preg_replace ====mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )5.6以下...
- 2021-03-25 09:07量子游走的博客 浏览器客户端可以通过两种方式将信息发送到Web服务器。GET方法POST方法在浏览器发送信息之前,它使用称为URL编码的方案对其进行编码。在这个方案中,名称/值对用等号连接,不同的对用&号分开。如下 –name=maxsu...
- 2020-10-29 14:39### PHP Header 函数详解 ...通过上述介绍,可以看出`header()`函数虽然简单,但正确使用它可以大大增强Web应用程序的功能性和灵活性。在开发过程中合理利用这些功能,可以使程序更加高效和安全。
- 2019-07-21 13:22转圈的行星的博客 查看文件名称: ...$path = '/var/www/web/default.php'; echo besename($path); echo '<br>'; echo besename($path,'.php'); //不存在扩展名时,加上.php扩展名 ?> 显示目录名称: d...
- 2024-10-05 17:47A5rZ的博客 对象属性的序列化定义包含属性的可见性和属性名。公共属性 (public受保护属性 (protected私有属性 (private注意:私有属性的名称在序列化时会加上类名前缀,并用空字符分隔,以避免与其他类中同名属性冲突。?使用...
- 2017-03-23 23:33ls0829_1029的博客 $_GET 、 $_COOKIE 类似, $_SESSION 也是超全局数组 使用 $_SESSION 数组将数据存入同名Session文件中 php session_start (); $_SESSION ['username'] = 'huochai' ; $_SESSION ['age'] = 28 ; ?...
- 2021-04-24 18:57Power BI365的博客 Contact Usif( isset($_POST['button2'])){if( $_SESSION['security_code'] == $_POST['security_code'] && !empty($_SESSION['security_code'] ) ){$name = $_POST['name'];// Insert y...
- 2021-04-12 15:31weixin_39651816的博客 cookie简介Cookie是存储在客户端浏览器中的数据,我们通过Cookie来跟踪与存储用户数据。一般情况下,Cookie通过HTTP headers从服务端返回到客户端。多数web程序都支持Cookie的操作,因为Cookie是存在于HTTP的标头之...
- 2022-10-26 18:22LZ_KaiHuang的博客 1.Brute Force(暴力破解) 在view source 中可以看到服务器只是验证了参数Login,没有防爆破的机制 if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get ...
- 2024-07-16 22:58cllsse的博客 php缺陷函数,命令执行与RCE,php特性,伪协议,php反序列化,phar反序列化,php session反序列化,soap反序列化,htaccess文件
- 2022-08-24 12:28wuxiaopengnihao1的博客 本文章向大家介绍php中页面与页面之间如何进行参数传递。php中如果要将参数从一个页面传递到另外一个页面,可以使用post或get或$_SESSION。具体实现方法可以阅读文章正文部分。
- 2019-04-03 01:20weixin_33766805的博客 文章转自:learnku.com/php/t/24930 ... 相对于其他几种语言来说, PHP 在 web 建站方面有更大的优势,即使是新手,也能很容易...此帖子分为几部分,每部分会涵盖不同的安全威胁和应对策略。但是,这并不是说你做到这...
- 2019-03-22 11:54XiaoXinHuang的博客 php Header PHP_AUTH_USER PHP_AUTH_PW 用户验证 在php中,可以使用Header函数做一些有趣的事情,用户验证就是其中一个很有意思的功能。具体用法: Header("WWW-Authenticate: Basic realm="USER LOGIN""); ...
- 2024-07-29 00:42绝不原创的飞龙的博客 我们通过学习 HTTP 来讨论了一些网络开发的方面。除此之外,我们还学习了如何有效地设计 RESTful API。这本书现在要结束了;让我们重新审视一些使我们的代码变得伟大的核心价值观:优先使用组合而不是继承避免重复...
- 没有解决我的问题, 去提问
