0
我有一个链接,通过PHP接收dyanamic图像,当你点击它,它会在新窗口中打开图像。它看起来像这样:打开图像通过另一个页面内的另一个网页内使用PHP
<a href="{IMAGE_FULL_URL}" target="_blank">Click Here</a>
我想打开名为red.php的页面上的图像,并在id = green的div内打开图像。 从发送页面,我喜欢这样想的东西:
<a href="red.php?{IMAGE_FULL_URL}">Click Here</a>
在red.php代码将可能是这样的:
<?php
$picture = $_GET['IMAGE_FULL_URL'];
echo ".$picture"
?>
我敢肯定,我有什么错以上,并且我不知道从哪里开始将div id添加到url,或者如果我可以简单地将php代码放在div中。有人可以告诉我代码,这样可以工作吗?谢谢。
我是谁发现这个代码XSS攻击大规模开放的唯一的人? – rdlowrey 2012-04-03 01:07:08
@rdlowrey,绝对不... imo这应该做pic_id,它传递给页面并重试(从数据库)并显示在另一页上。在最坏的情况下,这应该是一些会话数组索引或什么。 – Alex 2012-04-03 01:12:20
将任何用户输入直接转储到您的脚本中,如此处所示是非常危险的。我所要做的就是看看你的页面HTML源代码,乱七八糟地看看,无论我把'pic ='URL参数放在那里,你都完全搞砸了。路人,**小心**。 – rdlowrey 2012-04-03 01:14:55