У нас есть основное PHP-приложение.Мы проверили его в агентстве безопасности, и они уведомили нас, что на нашем сайте есть проблема с межсайтовым скриптингом.Они сообщили о той же проблеме на большинстве страниц.Точная ошибка, о которой они сообщили:
Межсайтовый скриптинг (отражено) /users/main/commoncontacts.php [имя произвольно заданного параметра URL]
Они также поделились запросом GET, который ониотправлено:
/ users / main / commoncontacts.php / v8hhi "> alert (1) g2gx7
Я потратил много времени на поиски решения для этого. Все говорят о разныхметоды для прекращения внедрения, но в основном все говорит о значении параметра, а не имени параметра. Поэтому, когда передается несуществующее имя параметра, как это должно произойти?
Одно из моих предположений состоит в том, что я буду использовать parse_url иParse_str работает для проверки и подозрительного параметра, и если найдет его, я покажу сообщение об ошибке или отправлю ответ об ошибке.
Пожалуйста, помогите.