У меня есть сайт в php, который включает() для встраивания содержимого в шаблон. Загружаемая страница указана в параметре get, я добавляю ".php" в конец параметра и включаю эту страницу. Мне нужно сделать некоторые проверки безопасности, чтобы избежать XSS или других вещей (а не mysql инъекции, так как у нас нет базы данных). Я пришел к следующему:
$page = $_GET['page'];
if(!strpos(strtolower($page), 'http') || !strpos($page, '/') ||
!strpos($page, '\\') || !strpos($page, '..')) {
//append ".php" to $page and include the page
Есть ли еще одна вещь, которую я могу сделать для дальнейшей дезинфекции моего вклада?