在我的网站上,仅允许使用少量查询查询参数。有些参数的长度应仅为1个字符,即AZ或az或1-0,但是,某些扫描程序或黑客尝试使用我的PHP应用程序不支持的冗长参数访问url,因此可以在php应用程序中阻止它们级别,通过验证$ _GET参数,但服务器正在加载,因此如果参数无效,我想显示403/404
示例正确的UR ::
http://example.com/books/index.php?cat=A
但是得到
http://example.com/books/index.php?cat=response.write(9687913*9040912
http://example.com/books/index.php?cat=/.././.././.././.././.././.././.././../etc/./passwd%2500
http://example.com/books/index.php?cat=%22%2bconvert(int%2cCHAR(52)%2bCHAR(67)%2bCHAR(117)%2bCHAR(84)%2bCHAR(117)%2bCHAR(79)%2bCHAR(115)%2bCHAR(84)%2bCHAR(107)%2bCHAR(68)%2bCHAR(76))%2b%22
http://example.com/books/index.php?cat=))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
http://example.com/books/index.php?cat=CWS%07%0e000x%9c%3d%8d1N%c3%40%10E%df%ae%8d%bdI%08)%d3%40%1d%a0%a2%05%09%11%89HiP%22%05D%8bF%8e%0bG%26%1b%d9%8e%117%a0%a2%dc%82%8a%1br%04X;%21S%8c%fe%cc%9b%f9%ff%aa%cb7Jq%af%7f%ed%f2.%f8%01>%9e%18p%c9c%9al%8b%aczG%f2%dc%beM%ec%abdkj%1
是否可以在.htaccess中将某些参数限制为仅接受1个字符,否则向用户显示404
答案 0 :(得分:0)
因此,假设您想将参数CPU限制为单个字母,然后使用此规则为cat的所有其他情况返回403错误:
cat