Тема: PHP защита
Показать сообщение отдельно
Непрочитано 23.11.2009, 17:31   #13
Doctor Мужской

Аватар для Doctor
 
Завсегдатай
Регистрация: 06.12.2007
Сообщений: 359
pm
По умолчанию Re: PHP защита

просканил AVZ чисто.
Цитата:
Какая может быть проблема уязвимости инклюдов, если соблюдены самые элементарные меры безопасности? Скажем, все переменные передаются через get/post, отключены global_registers и настроены соответствующие права на папки?
ну да, и еще что то связаное с использованием инклудов в функции if else.
Цитата:
Всё зависит от конкретного запроса в БД. Предположим, у тебя имеется перловый или пхп-скрипт, запрашивающий данные юзера. Он передаёт запрошенные значение в другой скрипт через метод GET, который, в свою очередь, кидает введённую юзером инфу в БД. Так вот, если в обработчике отсутствует элементарные функции обработки введённых данных (stripslashes, htmlspecialchars и др) - можно повесить скрипт, крякнуть БД, узнать в какие папки разрешена запись на диски и многое другое.
А если у тебя включены глобальные переменные, то это дополнительная угроза безопасности.
во. это я имел ввиду. собственно я уже понял возможную уязвимость своего скрипта на следующих сайтах исправлю. И потом буду смотреть появится ли левый код или нет.
Благодарю за помощь.
__________________
Убей в себе американца и станет легче на душе…

Последний раз редактировалось Doctor; 23.11.2009 в 17:33.
Doctor вне форума   Ответить с цитированием