[PHP] Bezpieczne przekierowanie przez GET Opcje

[reyne]

Witam (IMG:style_emoticons/default/smile.gif)
Napisałem skrypt go.php który wywoływany jest z hiperłączy na mojej stronie w postaci:

go.php?url=http://adrestrony.pl

np:

<a href="go.php?http://gry.pl">strona z grami</a>

tak wygląda kod skryptu

[PHP] pobierz, plaintext 
$go = $_GET['url'];
 if(isset($go)) {
        // w tabeli entries znajduje sie baza linkow
	$give = mysql_query("UPDATE `entries` SET `entry_clicks`=`entry_clicks`+'1' WHERE `entry_link`='".$go."'");
 
 
    header("Location: ".$go."");
 
 }
[PHP] pobierz, plaintext 

chodzi o to że skrypt dodaje do bazy kliknięcia w dany link, następnie przekierowuje użytkownika pod dany adres ze zmiennej get - URL.

Wszystko działa, problem pojawia się, kiedy w adresie ze zmiennej $_GET['url'] znajduje się np znak &, wtedy skrypt wariuje, bo jak się domyślam dopisuje to adres do skryptu go.php zamiast przekierowywać.

Pytanie: Jak zrobić żeby to działało poprawnie i bezpiecznie?

[sowiq]

Zrobić się da.

Inna sprawa, że jeśli chcesz mieć w miarę zabezpieczoną aplikację, to nie możesz zostawić żadnych informacji przychodzących od usera bez filtrowania/walidacji. Nieważne czy to dane z GET, POST, COOKIES, nagłówków czy czegokolwiek innego.

[edit]
Odpowiadając na wcześniejsze pytanie - podawaj adres wyescape'owany funkcją urlencode.

Ten post edytował sowiq 6.11.2012, 19:03:07