Wordpress插件造成HTTP响应拆分漏洞解决办法

今天感冒了，各种的难受！精神很差，效率也很低！

休息一下，玩玩360网站安全检测，提示哥网站存在HTTP响应拆分漏洞，又称CRLF注入攻击漏洞。

漏洞地址：https://yangjunwei.com/?r=xxxxx

wodpress应该不会有此漏洞，可能是插件造成的，于是全文搜索“$_GET['r']”代码，发现真的是存在于自己写的一个关于评论方面的插件里，功能是开启外站网址使用上述跳转代码，而且并未做完善的过滤，补充完善后的代码如下：

$redirect = $_GET['r'];
$redirect = trim($redirect);
$redirect = strip_tags($redirect,""); //清除HTML如<br />等代码
$redirect = ereg_replace("\t","",$redirect); //去掉制表符号
$redirect = ereg_replace("\r\n","",$redirect); //去掉回车换行符号
$redirect = ereg_replace("\r","",$redirect); //去掉回车
$redirect = ereg_replace("\n","",$redirect); //去掉换行
$redirect = ereg_replace(" ","",$redirect); //去掉空格
$redirect = ereg_replace("'","",$redirect); //去掉单引号

有句话很实在：不要轻易相信用户提交的数据！