PHP INJECTION ПРИМЕР

PHP Injection — это вид атаки на веб-сайты, который позволяет злоумышленникам выполнить произвольный PHP-код на сервере. Атака основана на том, что пользовательский ввод не фильтруется или не проверяется должным образом, прежде чем он используется в качестве аргумента для динамического создания SQL-запросов либо в качестве аргумента для динамического создания функций PHP на стороне сервера.

Рассмотрим пример такой атаки:

$id = $_GET['id'];mysql_query("SELECT * FROM users WHERE id = $id");

В приведенном выше коде есть уязвимость, связанная с параметром $_GET['id']. Если злоумышленник передаст в параметр $_GET['id'] произвольный код, он выполнится на сервере. Например, если злоумышленник передаст в параметр $_GET['id'] строку «1; DELETE FROM users», запрос к базе данных будет выполнен как два запроса:

SELECT * FROM users WHERE id = 1;DELETE FROM users;

Это может привести к потере всех данных пользователей в таблице users.

Чтобы предотвратить внедрение кода, нужно фильтровать и проверять пользовательский ввод, были введены следующие методы:

  • Использовать подготовленные выражения. Например, используйте функции PDO::prepare() и PDOStatement::execute() вместо mysql_query().
  • Использовать функции фильтрации ввода. Например, использовать функции filter_input() и filter_var().
  • Ограничение доступа к файлам и директориям сервера.

PHP In 60 Seconds: Dependency Injection

PHP Security: SQL Injection

PHP injection - Video training

What is SQL Injection ? How to prevent SQL Injection Attack in php/mysql ?

Как легко взломать сайт на PHP — SQL injection

Two minute programming: Dependency Injection in PHP

Bug Bounty Hunting - PHP Code Injection

Learn System Hacking E6: PHP Code Injection

What is Dependency Injection PHP - in 5 Minutes

Реклама
Новое
Реклама