1
メインサーバーにスクリプトを作成しています。js/htmlを使用して画像ソースとして呼び出し、現在のtumblrページの参照元変数を渡して、ブログの統計情報をメインの統計トラッキングDBに統合できます。URLのphpスクリプトに渡されるURL変数のチェック/検証には十分ですか?
もちろん、ソースを見る人は、このスクリプトがgetを介してurl変数を受け入れることができることを知ることができます。私は、セキュリティwonkのあまりないんだけど、私は現在、このVARへの入力で次のチェックを使用しています:
$previous_referrer = htmlspecialchars($_GET['ref']);
if (filter_var($previous_referrer, FILTER_VALIDATE_URL) && strpos($_SERVER['HTTP_REFERER'], $tumblelog_url)!== FALSE)
私は推測していることは、これは単純ではありません。注射の攻撃に対してそれをロックするために実行すべき他のチェックは何ですか?データベースで安全にデータを挿入するための