Programatorii lu' peste (Securitatea scripturilor PHP partea 5)

Am tot scris depsre securitatea scripturilor php. A citit cineva ? Numarul de vizualizari spune ca da. A inteles cineva ceva ? Am dubii. Ultima data scriam despre asta in ianuarie in Securitatea scripturilor PHP partea 4 . Azi e momentul sa mai dam un exemplu. Poate poate invata cineva ceva.

Exemplu 1: SQL injection Se ia www.reviste.ro , se da click pe una din categorii si se adauga dupa id-ul respectiv litera “a”. Rezultatul in imaginea de mai jos:

Oare o fi chiar atit de greu sa verifice variabila daca e integer sau nu ? Oare is_numeric e o functie atit de absconsa ?

Exemplul 2: Path discousure / file inclusion

Acelasi site , aceleasi variabile . Numai ca se adauga o litera ( alegeti voi care … ca nu are importanta ) pentru variabila numita explicitit “z” .

Si vorbim de prima pagina a unui site care 5000 de vizitatori ZILNIC si este locul 207 in clasamentul trafic.ro.

later edit:

Citez de pe site-ul celor care au realizat aceasta minunatie tehnica:

“inteliplus.ro | servicii de web design, ramnicu valcea, romania

/* in reconstructie */

/* intre timp, ne puteti contacta la office@inteliplus.ro */”

Bine ca stiu sa scrie comentarii …. E un pas inainte…