index.php的开头系统都做了过滤
一个是 htmlspecialchars($v), 另一个是/^[\x{4e00}-\x{9fa5}\w {0}]+$/u。
前一个过滤是把预定义的字符 "<" 和 ">"转换为 HTML 实体。
后一个是用正则处理参数,使其只能输入下划线、数字、 字母、 汉字和空格。
在结尾的地方
判断PHP文件是否存在,如果不存在 直接die,存在的话,引入该文件。没有做任何过滤 明显的文件包含漏洞
PS:inc_head.php 等多处都存在反射XSS,如果包含此文件,其他文件也会存在XSS