标签: php security http-headers code-injection
我有时会在php函数header中使用这样的用户数据:
header
header('Location : test' . $user_data);
我曾经删除\n和\r以阻止标头注入但是还有其他新行字符吗?我在我的示例中写了Location,但它可能是其他内容,我知道我必须验证和清理URL,我的问题是关于标题中的新行。
\n
\r
Location
答案 0 :(得分:4)
引用the doc:
(自4.4.2和5.1.2起)此功能现在可防止多个 要立即发送的标头作为防止标头注入的保护 攻击。
所以我想即使你已经做过的CRLF替换也没有必要。