这是我的原生网址:
127.0.0.1//myweb/home.php?u=daniel
现在当我包含这种类型的xss:
127.0.0.1//myweb/home.php/"><script>alert('hacked')</script>?u=daniel
ADDED
以下是其他代码:(我不添加用户获取数据)
require_once 'core/init.php';
$currentUser = new User();
$report = null;
if(!$currentUser->isLoggedIn()) {
Redirect::to('index.php');
}
答案 0 :(得分:0)
您可以随时使用php过滤掉网址中所有不必要的部分 这是您的网站,因此您可以了解您的网站中哪些字符无用。
例如,我知道在我的网站上,双引号/&#34;角色在我的网站上没用 所以,我可以直接用双引号过滤掉任何部分/&#34;字符。
您可以从以下代码中获取当前网址
$ url = $ _SERVER [&#39; REQUEST_URI&#39;]
然后,你只需使用explode就可以忽略双引号后的任何内容。
$ safe_url = explode(&#34; \&#34;&#34;,$ url);
因此,您只需使用$ safe_url [0]作为您的网址。