チェ・ゲバムラの日記

脱犬の道を目指す男のブログ

脆弱コード(XSS)

このコード、公開はダメ絶対!

自分のローカル環境で実行して下記をURLにつけるとリダイレクトされるよ。

chromeだとブラウザが自動で無効化してるみたいなのでIEとかで。

?username=%3cscript%3ewindow%2elocation%2ehref%3d%22http%3a%2f%2fgihyo%2ejp%2fbook%22%3b%3c%2fscript%3e

つまりは他サイトからリンクされると危険。

<?php
$fortune=array(
0=>'大吉',
1=>'中吉',
2=>'小吉',
3=>'末吉',
4=>'凶',
5=>'大凶',
);
$key=rand(0,5);
if(isset($_GET['username'])){
echo $_GET['username'] . "さんの運勢は" . $fortune[$key] . "です。";
}
//おみくじ用フォーム出力
echo '<form action="">';
echo 'お名前<input type="text" name="username" />';
echo '<input type="submit" value="占ってみる" />';
echo '</form>';

?>
</body>
</html>