你好,我会尽我所能解释这一点。我使用的是php母版页面结构,通过包含函数链接内容,如
<?php
$page=$_GET['page'];
include($page);
?>
我使用数据库来显示博客,并为每个帖子添加了ID,以允许用户导航到实际的博客帖子,而不是在列表中查看它。我遇到的问题是,链接工作,但当我添加母版页结构到链接,它找不到ID。例如,
<a href="blog2.php?id=<?php echo $post['post_id']; ?>">
,
不工作
<a href="../anonymous/anonymous.master.php?page=blog2.php?id=<?php echo $post['post_id']; ?>">
显然,第一个链接只显示blog2.php数据,而不显示母版页数据。我猜这是我的方式结构的链接和任何帮助将不胜感激。如果还有问题或者我没有解释清楚的,请提问。
有几件事。首先,要解决问题,在第二种情况下,在page和id参数之间需要&而不是?。所以它应该是这样的:
<a href="../anonymous/anonymous.master.php?page=blog2.php&id=<?php echo $post['post_id']; ?>">
第二,你真的需要净化你的输入。
在本例中:
<?php
$page=$_GET['page'];
include($page);
?>
如果你的服务器没有正确配置,我可以很容易地传递一个page的URL,让你的服务器执行其他网站的任意代码,危及你的整个系统。
在URL的情况下,您直接将post变量回显到页面,使您自己成为跨站点脚本(XSS)攻击的对象。