PHP - Escapar URL para header location

Escapar URL para header location

Publicado por Sr.Linares (1 intervención) el 04/04/2019 02:23:04

Hola,

Quiero redireccionar a páginas externas con PHP y lo hago de esta manera:

<?php

header('Location: '.$_GET['url']);

exit;

?>

Esto, en mi opinión es vulnerable.. No estoy seguro, pero yo diría que sí... Quiero saber cómo puedo validar de forma segura este código.

Pensé en utilizar filter_var($url, FILTER_VALIDATE_URL) en la variable $_GET pero he leído en un blog que de igual manera sería vulnerable.

¿Cuál es la forma correcta...?

Valora esta pregunta

Me gusta: Está pregunta es útil y esta clara

No me gusta: Está pregunta no esta clara o no es útil

Responder

Pos: 11

Val: 920

Escapar URL para header location

Publicado por italo_pm (193 intervenciones) el 04/04/2019 10:59:07

Hola, normalmente aconsejan a manera de prevencion, que se defina un array con los dominios permitidos.

//You can also match a whitelist of domains that you owned as per the following code:

$domains = [‘abc.example.com’, ‘foo.bar.com’];

if ( ! in_array($_SERVER[‘SERVER_NAME’], $domains)) {

// Si no esta dentro de la lista de dominios, escribo la accion por hacer.

o el contrario, si es que esta presente en el array, realizas el header Location.

salud2.

Valora esta respuesta

Me gusta: Está respuesta es útil y esta clara

No me gusta: Está respuesta no esta clara o no es útil

Comentar

Verificar dato

Tengo problemas en una query MySQL para mostrar varias fechas en una fila