Salve a tutti,
nelle mie pagine ho incorporato il seguente codice per cambiare da una pagina all'altra:
Questo codice mi sembra eventualmente esposto ad attacchi XSS, ma eppure qualsiasi carattere viene convertito nell'equivalente html se inserito nella barra del mio urlCodice PHP:<?php
$pagina = (isset($_GET['pag'])) ? $_GET['pag'] : 'homepage';
if ( !file_exists( './pag-'.$pagina.'.php') ) include('page_not_found.php');
else
include('./pag-'.$pagina.'.php');
?>
Questo dipende dal mio hosting oppure non ho considerato qualcosa?
E' sicuro lasciare il codice così oppure converrebbe inserire una strip_tags ?
Rispondi quotando