我有一个使用PHP编写的网站,其中使用include()将内容嵌入模板。要加载的页面在get参数中给出,我在参数的末尾添加".php"并包含该页面。我需要进行一些安全检查,以避免XSS或其他问题(不是MySQL注入,因为我们没有数据库)。我想到的方法如下。
$page = $_GET['page'];
if(!strpos(strtolower($page), 'http') || !strpos($page, '/') ||
!strpos($page, '\\') || !strpos($page, '..')) {
//append ".php" to $page and include the page
还有其他什么我可以做来进一步清理我的输入吗?
$page = preg_replace('/[^-a-zA-Z0-9_]/', '', $_GET['page']);
这可能是最快的消毒方法,它可以接受任何内容,并确保仅包含字母、数字、下划线或破折号。
定义一个明确的页面列表,然后使用它来检查输入。是的,这更费力,但它使得允许什么和不允许什么变得非常清晰。例如:
$AVAILABLE_PAGES = array('home', 'news', ...);
$AVAILABLE_PAGES = array_fill_keys($AVAILABLE_PAGES, 1);
$page = $_GET['page'];
if (!$AVAILABLE_PAGES[$page]) {
header("HTTP/1.0 404 Not Found");
die('Page not found.');
}
include "pages/$page.php";