URL中的PHP标记

所以我为我工作的市场部制作的所有这些表单制作了一个登录页。它们传递的一个字段是一个URL，我在处理完后重定向到该URL——一个感谢页面

最近，我发现了一个如下所示的URL：

http://www.oursite.com/folder/thank-you.php?thankyou=free-guide&amp;adgroup=<?php echo nfpa-c ?>&amp;reference=<?php echo  ?>

http://www.oursite.com/folder/thank-you.php?thankyou=free-指南及；adgroup=&；参考文献=

除了表单创建者的愚蠢，这是否意味着什么？我的页面在安全性和跨站点脚本等方面出现了巨大错误。这意味着什么？有任何合法的理由这样做吗

编辑/更新：

---

---

我的登录页在ASP.NET中。它提到的错误可能是跨站点脚本。

没有合法的理由像这样在url上传递PHP代码。事实上，这将是一个远程代码执行漏洞，就像说“Check Mate”一样糟糕。我会确保您没有运行此代码，尽管这可能是一个bug，因为在php中，他们会使用
eval（“echo'nfpa-c'）
，您不能像这样评估php标记，因此它可能是未经测试的代码
 没有合法的理由像这样在url上传递PHP代码。事实上，这将是一个远程代码执行漏洞，就像说“Check Mate”一样糟糕。我会确保您没有运行此代码，尽管这可能是一个bug，因为在php中，他们会使用
eval（“echo'nfpa-c'）
，您不能像这样评估php标记，因此它可能是未经测试的代码
 我完全不明白你的问题。到底是谁在犯什么错误？登录页在哪里结束？有什么正当的理由这么做吗？我没有看到任何php标签。。。你是说
.php
部分吗？这是php页面的文件扩展名，是的，如果您的站点没有写入（从问题上的asp.net标记判断）会有点奇怪。啊，现在php标记是可见的，这就更有意义了。不是所有与安全性和网站相关的内容都是跨站点脚本。这个词被误用了，因为大多数人不知道它意味着什么。很抱歉不清楚，我更新了这篇文章。我根本不理解你的问题。到底是谁在犯什么错误？登录页在哪里结束？有什么正当的理由这么做吗？我没有看到任何php标签。。。你是说
.php
部分吗？这是php页面的文件扩展名，是的，如果您的站点没有写入（从问题上的asp.net标记判断）会有点奇怪。啊，现在php标记是可见的，这就更有意义了。不是所有与安全性和网站相关的内容都是跨站点脚本。Imoh这个词被误用了，因为大多数人不知道它意味着什么。很抱歉不清楚，我更新了这篇文章。实际上，这是硬编码到输入字段中的。*来自的urlabove@Brandi它很可能是由PHP解析的，不是吗？很有可能，但因为它不是一个变量，它只是输出硬编码文本，这让我觉得在url中放置标记是一种非常糟糕的做法。他们不想更改他们的表单，所以我想知道允许这样做并将我页面上的验证设置为false会有什么影响？@Brandi您这边没有安全问题，但发送表单中的PHP源代码中可能有敏感数据。此外，统计数据（adgroups..？）很可能丢失。@Brandi不，这是完全无害的：如果代码没有立即在页面上执行，它只是一系列毫无意义的字符。实际上，这是硬编码到输入字段中的。*来自的urlabove@Brandi它很可能是由PHP解析的，不是吗？很有可能，但因为它不是一个变量，它只是输出硬编码文本，这让我觉得在url中放置标记是一种非常糟糕的做法。他们不想更改他们的表单，所以我想知道允许这样做并将我页面上的验证设置为false会有什么影响？@Brandi您这边没有安全问题，但发送表单中的PHP源代码中可能有敏感数据。另外，统计数据（adgroups..？）很可能丢失。@Brandi不，这是完全无害的：如果代码没有立即在您的页面上执行，它只是一系列毫无意义的字符。正是这样。他们犯了一个语法错误，我们说服他们修复它。假设PHP代码是偶然出现的，这怎么会是一个漏洞？@Pekka将PHP代码作为GET参数传入是一个最明显的漏洞，但这个漏洞不是。正是这个漏洞。他们犯了一个语法错误，我们说服他们修复它。假设PHP代码是偶然出现的，这怎么会是一个漏洞？@Pekka将PHP代码作为GET参数传入是一个最明显的漏洞，但这个漏洞不是。
<?php echo nfpa-c ?