标签: php security curl
如果您根据用户输入的内容允许未过滤的查询字符串,以便cURL从某个URL执行GET,那么让它们在cURL函数curl_setopt中放入他们想要的任何内容是否有任何漏洞?这假设源URL本身是经过适当验证的API服务,因此我只询问可能影响运行cURL的系统的漏洞。谢谢。
答案 0 :(得分:0)
旧版本的libcurl中存在至少两个漏洞(由PHP / CURL扩展使用),如果让用户传入他们想要的任何URL,可能会导致不良影响:
1 - curl URL sanitization vulnerability
2 - libcurl Arbitrary File Access