私はどこからでも検索し、これに対する解決策を見つけました。私は最近、XSSとSQL Injectionに対する脆弱性を見つけるために、私たちのWebサイト上でスキャンを実行しています。いくつかのアイテムが私の注目を集めました。XSS PHPスクリプトの脆弱性
ユーザーが入力したデータは、filter_var()を使用して検証され、サニタイズされます。
私の問題は、XSSとその人がURLを操作していることです。どこにでもあるように思わ単純なものがある:
http://www.domainname.com/script.php/">< script>alert('xss');</script>
これは、その後$_SERVER
変数の一部を変更し、CSS、リンク、画像などに私の相対パスのすべての原因となる。..無効であると、ページが」doesnの正しくロードしてください。
スクリプト内で使用されている変数はすべて削除しますが、この不要なデータをURLから取り除く方法についてはわかりません。
ありがとうございます。
追加: これは、テンプレート・ファイル内の単純なリンク原因:実際にリンクする
<a href="anotherpage.php">Link</a>
を:
"http://www.domainname.com/script.php/" > <スクリプト>アラート( 'xss'); < /スクリプト> /anotherpage.php
ユーザ入力をサニタイズします。 – Adrian
正確にはどのように私は消毒していますか、私はこの入力を何らかの用途のために取っていません。私はそれが私が欲しい変数でなければ無視したいだけです。 – cosmoba