Author: MDT | Added:19.4.2007 23:16 | Last update: 10.5.2007 00:00 | Readed: 3185x
Dnes dokončíme ná? krátky seriál o PHP Injection tím, ?e si uká?eme, jak vyhledat weby náchylné na tuto chybu a jak se proti zneu?ití této chyby bránit.
I kdy? je pravidlem vyhledávat chyby podle serveru a ne servery podle chyby, uvádím zde dotaz pro server www.google.com, podle kterého mů?ete takové servery nalázt:
inurl:index.php?page=
Místo page mů?e být samozřejmě cokoliv jiného (site apod.). Doufám ale, ?e toho vyu?ijete jen pro upozornění majitele na hrozící nebezpečí, maximálně si tuto metodu vyzkou?íte, ale doufám ?e ji nezneu?ijete a nepo?kodíte tak majitele.
Mo?ností jak se bránit je několik. První z nich je omezit některé výrazy ve vstupu:
Zakázané výrazy mů?ete samozřejmě libovolně roz?ířit, problém ale je, ?e ani vy nebudete schopni vkládat soubory ze vzdálených serverů. Dal?í metodou, která ře?í i tento problém, je pou?ití funkce switch:
Nevýhodou této metody je, ?e musíte vypsat v?echny stránky, které vkládáte, co? na velikých serverech je samozřejmě nemo?né (nebo spí?e neelegantní) ře?ení. Výhodou je ale ?e mů?ete zapnout funkci allow_url_fopen() a s klidným srdcem vkládat stránky ze vzdálených serveru (samozřejmě je musíte zapsat do funkce switch).
Dal?í mo?ností je vytvoření si nějaké funkce, například:
Elegantní ře?ení, ale opět nebudete moci vkládat soubory z cizích serverů.
Metod, jak útočit i jak se bránit, existuje samozřejmě více, vypsal jsem vám jen ty základní, na dal?í si mů?ete dojít sami. Tak hodně ?těstí.
-------------------------------------------------------------------------------------------------------------------------