1. 首页
  2. 问答
  3. 这是一个安全隐患

这是一个安全隐患

2013-09-28 55 views
0

Im相当新的PHP,并开始在我的应用程序测试的几件事情,并注意到这对我的网址这是一个安全隐患

当我通过甲基苯丙胺其http://localhost:8888/project/info.php

但是,如果我进入我的网站会增加/'%25至URL字符串我的CSS打破了所有togehter

EG的末尾:http://localhost:8888/project/info.php/'%25

所以这是一个安全隐患?我没有使用$_GET['']等来获取某个查询或某些东西,它只是一个纯文本信息页面。但是如果我添加部分/'%25它打破了CSS。

在此先感谢

来源

2013-09-28 kevin ols

+0

如果它打破了CSS,你有HTML差然后 –

+0

为什么它被标记为sql,你说它是纯HTML页面? –

+0

没有足够的信息,重写的网址是什么。如果你正在引用一个CSS文件,我认为你正在做当前URL的相对路径导致中断?检查你是否无法通过http:// localhost:8888/project/info.php /../../../等遍历文档根目录 – OBV

回答

0

它最有可能是因为你正在增加额外的斜线。尝试用/来代替/'%25进行确认。 如果是这样,比你正在加载你的资产(CSS)相对于当前的网址。 是这样的:<link href="script"> 尝试将其更改为绝对URL,这样的事情:<link href="/proper/location/script"> 但我只是猜测,你没有提供足够的信息(链接或代码)

来源

2013-09-28 16:53:52 gondo

0

如果您不读取GET或POST值,那么你不应该担心。 XSS和SQL注入都需要使用页面上的输入字段分别向服务器发送代码和SQL语句。

来源

2013-09-28 16:48:30

+0

对不起,但这是不准确的。 uri本身可以是xss的来源。所以可以标题值。接下来是基于DOM的XSS,其中违规输入永远不会触及服务器。 – Erlend

相关问题

 相关问题