Защита от url-инъекций (php)

Question

Защита от url-инъекций (php)

Взламывается один сайт на самописном движке. Вот один из логов сервера:
POST /?-d+allow_url_include%3d1+-d+auto_prepend_file%3dhttp://...

Как защититься от этого?
Можно ли в .htaccess прописать редирект, если в url есть наличие, к примеру "allow_url_include" или это не поможет?

0

Ответы на пост (5) Написать ответ

Быстрая регистрация для ответа Войти

Answer 1

Сразу после подключения к базе mySQL:
foreach($_GET as $k=>$v)$_GET[$k]=mysql_real_escape_string($v);

Answer 2

aliiix

116

04.09.2013 01:03

И для пост:
foreach($_POST as $k=>$v)$_POST[$k]=mysql_real_escape_string($v);

0

Answer 3

Эта инъекция 100% только через MySQL работает или она может напрямую через PHP работать?
С таким никогда не встречался, почему-то мне сразу показалось, что MySQL тут вообще не при чём.

Answer 4

Я бы вообще запретил использование url в include, т.к. это пиз#ец какая уязвимость. Для этого в php.ini: allow_url_include = false;
Насчет .htaccess, если данный параметр передается методом GET, то можно его отловить, например так:
RewriteCond %{QUERY_STRING} allow_url_include
RewriteRule . / [L]

Answer 5

KartingProfi

66

04.09.2013 14:23

Сейчас в личку отпишу

0

Защита от url-инъекций (php)

Похожие посты

Анализ сайта