请大佬帮忙看看这段代码有被攻击的风险没

有的，pdf_url 可传入反射型 XSS 攻击。

@b821025551b 这个危害倒是不大，主要是不知道有没有可执行命令 注入的风险

@pmispig #2 你贴出来得这段代码只可以知道有 XSS，但是是否会因为 XSS 的提权造成可注入的接口暴露就不一定了。

个人拙见，可以读取 php 源码 ，例如:
echo file_get_contents('index.php');

@javashell 多谢提醒，我得试试能不能读取本地文件

@javashell 果然可以读取本地文件，神坑

任意文件读取啊

@pmispig 肯定可以读，而且还有 SSRF 风险

更重要的是可以用 php:// 执行 PHP 代码

@D0n9 可怕，还好是单独放在 docker 里面

echo file_get_contents('/etc/passwd');

SSRF

写入和输出都是高危操作，涉及到这种语句的地方都要进行路径正则严格匹配、mime 检查、后缀检查才放心

/**
* 防止 SSRF 攻击，curl、file_get_contents 前检测 url
*/
function requestUrlSafe($url) {
$link = trim(strtolower($url));
$link = str_replace('\\', '/', $link);
while (strstr($link,'../')) {
$link = str_replace('../', '/', $link);
}
if( substr($link, 0, 6) != "ftp://" &&
substr($link, 0, 7) != "http://" &&
substr($link, 0, 8) != "https://" ) {
return false;
}
return true;
}

对传进来的参数做验证，强制加上 http/https 头应该就可以避免读取本地文件的情况了

function add_protocol_header($url) {
$preg = '/^http(s)?:\\/\\/.+/';
if (preg_match($preg, $url)) {
$new_url = $url;
} else {
$new_url = 'http://' . $url;
}
return $new_url;
}
$new_url = add_protocol_header($_GET['pdf_url']);
echo file_get_contents($new_url);

典型 任意文件读取漏洞