Задать вопрос

PHP-инъекции в прошлом?

Давно они не встречаются, или все-таки они есть?
  • Вопрос задан
  • 3520 просмотров
Подписаться 6 Оценить Комментировать
Решения вопроса 1
@inkvizitor68sl
Linux-сисадмин с 8 летним стажем.
В php 5.4 убрали дырень, из-за которой возникало большинство инъекций (www.php.net/manual/ru/security.globals.php). Так что их постепенно становится меньше (по мере обновления php по миру).
Но так как разработчики писать лучше не стали - исчезнуть они не исчезнут.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 4
@ikeagold
PHP-инъекция становится возможной, если входные параметры принимаются и используются без проверки.
Источник То есть, они есть, были и будут пока есть те кто не защищает входные параметры/данные/и т.д.
Сейчас все нацелены на XSS, даже гугл готов платить 7500$ за уязвимость.
Вот и мини игра - https://xss-game.appspot.com/
Недавний пост на habr о XSS habrahabr.ru/post/224773
Ответ написан
Комментировать
Да, они имеют место быть. Конечно, разработчики слали больше уделять внимания проверке данных, но не все. К тому же до сих пор популярны PHP-инъекции через загрузку файлов.
Ответ написан
Комментировать
@asd111
От PHP это не зависит, т.к. PHP по умолчанию не фильтрует вывод и в PDO есть способ писать небезопасно. Фреймворки немного решают проблему с SQL injection, а чтобы не было XSS нужно фильтровать вывод данных из БД и пользовательских данных.
Ответ написан
webinar
@webinar Куратор тега PHP
Учим yii: https://youtu.be/-WRMlGHLgRg
Они есть и будут есть, так что надо проверять данные.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы