PHP/PHP Injection

Z Wikibooks, biblioteki wolnych podręczników.
< PHP
Przejdź do nawigacji Przejdź do wyszukiwania
Poprzedni rozdział: Szyfrowanie
Spis treści
Następny rozdział: JS/HTML Injection

PHP Injection polega na dopisywaniu przez złośliwych użytkowników fragmentów kodu do przesyłanych zmiennych m.in. za pośrednictwem formularzy znajdujących się na stronach WWW.

Przed PHP Injection można zabezpieczyć się filtrowaniem przekazywanych parametrów - wygląda to dokładnie tak samo, jak w przypadku SQL Injection, jednak atak nie ma bezpośredniego (lub nie ma w ogóle) wpływu na bazę danych.

Przykładowy atak[edytuj]

Załóżmy że użytkownik może wpisać swoje imię w formularzu, które zostanie wyświetlone. W formularzu jest jedynie pole do wpisania imienia, przesyłany metodą POST. Wyświetlanie:

1 <?php
2 $imie = $_POST['imie'];
3 echo("Witaj $imie !");
4 ?>

Lecz jeżeli użytkownik wpisze:

1 <?php phpinfo(); ?>

To wygenerowany kod HTML będzie wyglądał tak:

1 Witaj <?php phpinfo(); ?> !


Jak się zabezpieczyć[edytuj]

Ulepszenie poprzedniego skryptu:

1 <?php
2 $imie = htmlspecialchars($_POST['imie']);
3 echo("Witaj $imie !");
4 ?>

I już atak tego typu nam nie straszny - ostre nawiasy zostaną zastąpione kodami &lt oraz &gt, co uniemożliwi wykonanie funkcji w ten sposób.