Бывают ли уязвимости при вводе данных пользователем для сайта без бд?
Добрый день. Есть лендинг с формой отправки запроса. Базы данных никакой нет, заявка отправляется на почту администратора средствами php. Введенные данные почти никак не проверяются. Хостится все на обычном хостинге, коих много. Так вот, является ли это уязвимостью, при условии, что нет бд и пользовательских данных, которые можно из нее вытянуть? Можно ли через эту дыру в безопасности сделать что-то плохое? Никогда не задумывался об этом и делал все статические сайты с подобной дыркой.
Если нет механизма отображающего эти "запросы" на страницах сайта или в админке какой, то в данном механизме нет проблемы. Есдинственное что - желательно поставить капчу какую нить или другимси механизмами ограничить количество отправляемых запросов с одного IP.
Если есть возможность прикреплять файлы к запросу, то нужно смотреть конкретно код функции, но в случае с прямой отправкой полученнных данных на E-mail, налажать сложно (список расширений только профильтровать - что-бы менеджеру не присылали вирусню).
Всё это относительно. Все хостинги (нормалные) делают ограничения по пользователю - т.е. права только в его (пользователя) папке. Т.е. дальше этой папке "хакер" ни куда не продвинется. Максимум могут залить какой нить вирус (или другое подобное ПО, которые насолит вам и/или вашим пользователям) и т.п.
Так что лучше делайте валидацию на работу с данными.
Средний
