просканил AVZ чисто.
Цитата:
Какая может быть проблема уязвимости инклюдов, если соблюдены самые элементарные меры безопасности? Скажем, все переменные передаются через get/post, отключены global_registers и настроены соответствующие права на папки?
|
ну да, и еще что то связаное с использованием инклудов в функции if else.
Цитата:
Всё зависит от конкретного запроса в БД. Предположим, у тебя имеется перловый или пхп-скрипт, запрашивающий данные юзера. Он передаёт запрошенные значение в другой скрипт через метод GET, который, в свою очередь, кидает введённую юзером инфу в БД. Так вот, если в обработчике отсутствует элементарные функции обработки введённых данных (stripslashes, htmlspecialchars и др) - можно повесить скрипт, крякнуть БД, узнать в какие папки разрешена запись на диски и многое другое.
А если у тебя включены глобальные переменные, то это дополнительная угроза безопасности.
|
во. это я имел ввиду. собственно я уже понял возможную уязвимость своего скрипта на следующих сайтах исправлю. И потом буду смотреть появится ли левый код или нет.
Благодарю за помощь.