PHP-инъекции в прошлом?

Question

[Иван Иванов]

Давно они не встречаются, или все-таки они есть?

Answer 1

[Влад Животнев]

В php 5.4 убрали дырень, из-за которой возникало большинство инъекций (www.php.net/manual/ru/security.globals.php). Так что их постепенно становится меньше (по мере обновления php по миру).
Но так как разработчики писать лучше не стали - исчезнуть они не исчезнут.

Answer 2

[Appp Zooo]

PHP-инъекция становится возможной, если входные параметры принимаются и используются без проверки.

Источник То есть, они есть, были и будут пока есть те кто не защищает входные параметры/данные/и т.д.
Сейчас все нацелены на XSS, даже гугл готов платить 7500$ за уязвимость.
Вот и мини игра - https://xss-game.appspot.com/
Недавний пост на habr о XSS habrahabr.ru/post/224773

Answer 3

[Виталий Желтяков]

Да, они имеют место быть. Конечно, разработчики слали больше уделять внимания проверке данных, но не все. К тому же до сих пор популярны PHP-инъекции через загрузку файлов.

Answer 4

[asd111]

От PHP это не зависит, т.к. PHP по умолчанию не фильтрует вывод и в PDO есть способ писать небезопасно. Фреймворки немного решают проблему с SQL injection, а чтобы не было XSS нужно фильтровать вывод данных из БД и пользовательских данных.

Comments

[Иван Иванов]

Кошерно ответил, спасибо

Answer 5

[Максим Тимофеев]

Они есть и будут есть, так что надо проверять данные.