index.php的開頭系統都做了過濾
一個是 htmlspecialchars($v), 另一個是/^[\x{4e00}-\x{9fa5}\w {0}]+$/u。
前一個過濾是把預定義的字符 "<" 和 ">"轉換為 HTML 實體。
后一個是用正則處理參數,使其只能輸入下划線、數字、 字母、 漢字和空格。
在結尾的地方
判斷PHP文件是否存在,如果不存在 直接die,存在的話,引入該文件。沒有做任何過濾 明顯的文件包含漏洞
PS:inc_head.php 等多處都存在反射XSS,如果包含此文件,其他文件也會存在XSS