ли это риск безопасности

Im довольно новыми для PHP, и начал тестировать несколько вещей на мое приложение и заметил мой URLли это риск безопасности

Когда я ввожу свой сайт, MAMP его http://localhost:8888/project/info.php

Но если я добавит /'%25 к концу строки URL-адрес моего CSS разбивает все togehter

Например: http://localhost:8888/project/info.php/'%25

Так это риск для безопасности? Я не использую $_GET[''] и т. Д., Чтобы получить что-то для запроса или так, его просто текстовую информацию. Но если я добавлю часть/'% 25, она сломает css.

Заранее спасибо

источник

2013-09-28 kevin ols

, если он нарушает CSS, у вас плохой HTML затем –

, почему он был помечен sql, вы сказали, что это простая HTML-страница? –

Недостаточно информации, для чего переписывается URL. Если вы ссылаетесь на файл CSS, я полагаю, вы делаете относительный путь к текущему URL-адресу, вызывая перерыв? Убедитесь, что вы не можете пройти мимо корневого документа с помощью http: // localhost: 8888/project/info.php /../../../ и т. Д. – OBV

его, скорее всего, из-за дополнительной косой черты, которую вы добавляете. попробуйте заменить /'%25 только / для подтверждения. , если это так, чем вы загружаете свои активы (CSS) относительно текущего URL-адреса. что-то вроде этого: <link href="script"> пытаются изменить его к абсолютному URL, что-то вроде этого: <link href="/proper/location/script"> , но им просто угадать, как вы не предоставили достаточно информации (ссылку или код)

источник

2013-09-28 16:53:52 gondo

Если вы не читаете GET или POST значения, то вы не должны беспокоиться. И XSS, и SQL Injection требуют отправки кода и операторов SQL соответственно на сервер с использованием полей ввода на странице.

источник

2013-09-28 16:48:30

Извините, но это неточно. Сам uri может быть источником xss. Таким образом, могут быть значения заголовков. Далее есть DOM-основанный XSS, где оскорбительный ввод никогда не касается сервера. – Erlend

ли это риск безопасности

ответ

Смежные вопросы