Sto creando una semplice applicazione. C'è un'opzione per scaricare un'immagine generata. Per questo, il mio codice PHP è:
<?php
if (isset($_GET['img_name'])){
?>
<html>
<img src="<?php echo $_GET['img_name'];?> "></html>
<?php
}
?>
So che questo è vulnerabile a XSS. Ma questo non è il problema. La domanda è, è possibile per l'attaccante includere o eseguire file o codice PHP tramite questa applicazione? So che, per echo
e img
tag PHP non verrà eseguito qui.
Cosa ne pensi ricercatori? Sono al sicuro?