PHP安全-获取变量，URL安全？_Php_Security_Variables_Get

PHP安全-获取变量，URL安全？

php security variables

PHP安全-获取变量，URL安全？,php,security,variables,get,Php,Security,Variables,Get,我正在创建一个非常基本的iPhone模拟器，我想做的就是把它放在一个位置，然后我们拥有的任何网站，如果我们想把它放在上面，我们可以使用以下方式来调用它：有什么我需要注意的可能是不安全的吗？这里没有涉及任何数据库或任何东西，但万一有人想在URL中乱放东西，我可以做些什么来帮助这更安全一点这是我的密码： <?php if(isset($_GET['url'])) { $url = $_GET['url']; ?> <!d

我正在创建一个非常基本的iPhone模拟器，我想做的就是把它放在一个位置，然后我们拥有的任何网站，如果我们想把它放在上面，我们可以使用以下方式来调用它：

有什么我需要注意的可能是不安全的吗？这里没有涉及任何数据库或任何东西，但万一有人想在URL中乱放东西，我可以做些什么来帮助这更安全一点

这是我的密码：

<?php
    if(isset($_GET['url'])) {
        $url = $_GET['url'];
        ?>

        <!doctype html>
        <html lang="en">
            <head>
                <meta charset="utf-8">
                <title>iPhone Test</title>
                <style type="text/css">
                #iphone { 
                    background:url(iPhone.png) no-repeat; 
                    width:368px; height:706px; 
                    position:relative; 
                    overflow:hidden;  
                }
                #iphone iframe {
                    position:absolute; 
                    left:30px; 
                    top:143px; 
                    border:0;overflow:hidden; 
                }
                </style>
            </head>
            <body>
                <div id="iphone">
                <iframe src="<?=$url;?>" width="307" height="443"><p>Your Browser does not support iFrames.</p></iframe>
                </div>
            </body>
        </html>
        <?php
    }
?>


iPhone测试
#iphone{
背景：url（iPhone.png）不重复；
宽度：368px；高度：706px；
位置：相对位置；
溢出：隐藏；
}
#iphone iframe{
位置：绝对位置；
左：30px；
顶部：143px；
边框：0；溢出：隐藏；
}

资料来源：

类别：

你觉得呢？

你很容易受到伤害

所有人需要做的就是在URL中包含eevevvvilll！！！！，或者使用非HTTP/HTTPS URI。

您很容易受到攻击

所有人要做的就是包括

“>eevvvvilll，或使用非HTTP/HTTPS URI。
这里列出了此处涉及的安全问题
IFrames安全摘要
2007年10月24日星期三我决定收集各种证据
对我所做的概念进行总结，并总结为什么iFrame是一种安全风险。
以下是主要原因：-
浏览器跨域攻击
描述：-因为您可以在页面中嵌入另一个网站，
您可以利用该页面并执行与该用户相同的操作
选择网站上的任何内容
概念验证：-Safari beta 3.03零日
XSS/CSRF反射攻击
描述：-使用嵌入到受损站点的iFrame
然后，攻击者可以将攻击反映到其他服务器，从而使
难以追踪且有焦点进行的攻击
攻击
概念证明：-这种类型的攻击不可用
如果不实际执行攻击，则很难显示方法
CSS和iFrame可以从internet扫描您的LAN
描述：-利用CSS中的功能并使用iFrame检查
如果存在默认IP地址，则可以获取您的网络
如果网络设备使用
默认现成的IP地址
概念验证：-CSS LAN扫描仪
使用Javascript和iFrame进行局域网扫描
描述：-使用与上述类似的方法，可以获得
您的局域网信息使用Javascript
概念验证：-Javascript LAN扫描仪
CSS iframe覆盖
描述：-iFrame可以嵌入Firefox和
您可以改变它们的外观，以创建具有任意形状的无缝覆盖
地点。这将使用户很难知道哪个站点
他们正在与他们互动，并愚弄他们去执行一个动作
概念证明：-Verisign OpenID漏洞（现已修复）
URL重定向
描述：-iFrame还允许您执行重定向，以便
可以访问通常无法访问的URL。在
例如，POC从delicious/home重定向到您的
帐户书签，然后使用CSS覆盖显示您的第一个
书签。POC需要Firefox和delicious帐户
概念验证：-美味的CSS覆盖/重定向

您可以像代理一样，用PHP加载请求的URL，去掉HTML（javascript等）中的所有内容，然后将其显示在指向服务器上网页的iframe中，从而使其更加安全
IFrames安全摘要
2007年10月24日星期三我决定收集各种证据
对我所做的概念进行总结，并总结为什么iFrame是一种安全风险。
以下是主要原因：-
浏览器跨域攻击
描述：-因为您可以在页面中嵌入另一个网站，
您可以利用该页面并执行与该用户相同的操作
选择网站上的任何内容
概念验证：-Safari beta 3.03零日
XSS/CSRF反射攻击
描述：-使用嵌入到受损站点的iFrame
然后，攻击者可以将攻击反映到其他服务器，从而使
难以追踪且有焦点进行的攻击
攻击
概念证明：-这种类型的攻击不可用
如果不实际执行攻击，则很难显示方法
CSS和iFrame可以从internet扫描您的LAN
描述：-利用CSS中的功能并使用iFrame检查
如果存在默认IP地址，则可以获取您的网络
如果网络设备使用
默认现成的IP地址
概念验证：-CSS LAN扫描仪
使用Javascript和iFrame进行局域网扫描
描述：-使用与上述类似的方法，可以获得
您的局域网信息使用Javascript
概念验证：-Javascript LAN扫描仪
CSS iframe覆盖
描述：-iFrame可以嵌入Firefox和
您可以改变它们的外观，以创建具有任意形状的无缝覆盖
地点。这个w
<?php
include_once 'filter.php';
$filter = new InputFilter();   

if(isset($_GET['url'])) {
if (filter_var($_GET['url'], FILTER_VALIDATE_URL)) {
    $url = $filter->process($_GET['url']);
?>

<IFRAME SRC="javascript:alert('XSS');"></IFRAME>

<iframe src=http://ha.ckers.org/scriptlet.html"></IFRAME>

?url="></iframe><script>alert(123)</script>

?url=http://myevilsite.com/redirect.php

window.top.location.href = "http://www.site.com"; 

    if (isset($_GET['url'])) {
        if (filter_var($_GET['url'], FILTER_VALIDATE_URL)) {
            $url = $_GET['url'];
        }
    }

$url = strip_tags($_GET['url'])