SEO Сообщество: Спрашивайте и помогайте

Присоединяйтесь к сообществу профессиональных веб-мастеров PR-CY, отвечайте на вопросы коллег и задавайте свои.

Q&A SEO

Защита от url-инъекций (php)

KartingProfi KartingProfi  
66
  04.09.2013 00:58       2 169    
Взламывается один сайт на самописном движке. Вот один из логов сервера:
POST /?-d+allow_url_include%3d1+-d+auto_prepend_file%3dhttp://...

Как защититься от этого?
Можно ли в .htaccess прописать редирект, если в url есть наличие, к примеру "allow_url_include" или это не поможет?

Ответы на пост (5) Написать ответ
aliiix aliiix
116
04.09.2013 01:02
Сразу после подключения к базе mySQL:
foreach($_GET as $k=>$v)$_GET[$k]=mysql_real_escape_string($v);
0
aliiix aliiix
116
04.09.2013 01:03
И для пост:
foreach($_POST as $k=>$v)$_POST[$k]=mysql_real_escape_string($v);
0
KartingProfi KartingProfi
66
04.09.2013 12:01
Эта инъекция 100% только через MySQL работает или она может напрямую через PHP работать?
С таким никогда не встречался, почему-то мне сразу показалось, что MySQL тут вообще не при чём.
0
Roman2002 Roman2002
220
04.09.2013 12:03
Я бы вообще запретил использование url в include, т.к. это пиз#ец какая уязвимость. Для этого в php.ini: allow_url_include = false;
Насчет .htaccess, если данный параметр передается методом GET, то можно его отловить, например так:
RewriteCond %{QUERY_STRING} allow_url_include
RewriteRule . / [L]
0
KartingProfi KartingProfi
66
04.09.2013 14:23
Сейчас в личку отпишу
0