Googleは妄想していますか？

Question

On this page about hashbangs私は次のことを見た：

// get the _escaped_fragment_ parameter 
$escapedfragment = $_GET['_escaped_fragment_']; 
// NOTE: VALIDATE PARAMETERS (as always, to avoid security risks) 
$params = getParams($unescapedfragment); 

これを行うためのポイントは何ですか？それはすべてサーバー側であり、SQLインジェクションやPHP evalingのリスクはありません。

なぜ妥当性は検証されますか？可能なこと$_GET['_escaped_fragment_']は問題の可能性があります

Answer 1

この場合、実行されているPHPは、検索エンジンがインデックスを作成するための動的コンテンツを生成するために使用されます。ユーザーがサイトとやりとりしているときと同じコンテンツを生成する必要があります。そのため、ファイルシステムからファイルを取得したり、データベースクエリを実行したり、リモートシステムに接続したりする必要があります。

アドバイスは間違いなく良い配置です。これはサーバー上でスクリプトコンテンツを実行するための2番目のメカニズムです。ここで入力の検証を行わずに盲目的に同じことを実行すると、おそらくセキュリティの問題がクローラによって突き止められたり、攻撃者にデータの2番目のルートが提供されたりします。