На главную  Карта сайта  
Главное меню
Реклама

Защита от php инъекции

В прошлых выпусках мы научились обнаруживать и использовать уязвимость типа php инъекция, сегодня мы узнаем, как можно защитить приложения от подобной атаки.
Для защиты от уязвимостей типа инъекция применяют специальные функции, задача которых фильтровать входящие запросы. Сейчас мы напишем функцию фильтрации, для защиты от php инъекции.
Принцип действия функции прост, она получает параметр из строки запроса, с помощью оператора case проверяет его и в случае не соответствия отправляет пользователя на главную страницу.
 
 
Давайте рассмотрим каждую строчку:

2 - если передан параметр, то включаем проверку
4 - начало оператора выбора
6..9 - если параметр равен одному из условий, то подключаем нужную страницу. Например, если запрос был вида index.php?m=about , то в соответствий с условием подключаем about.php
10 - если параметр был передан, но он не соответствует ни одному из заданных в switch, то подключаем стартовую страницу.
12 - если параметр вообще не был передана, то подключаем стартовую.

Включение подобной функции в скрипт не позволит злоумышленнику выполнить php инъекцию. Любой параметр, который не предусмотрен, будет просто проигнорирован.

Так же рекомендуется в start.php объявить константу, а в подключаемых файлах поверять обьявленна она или нет. Это позволит избежать вызов страниц, злоумышленником минуя start.php.

Пример:

 

 

11.07.2006

Комментарии

ФИО: 
E-mail: 
Тема: 
Комментарий: