Hacking av php

kongen

kongemedlem
Er det mulig å hacke php på noen måte?

Hvis man har

PHP:
$navn = $_GET['navn'];
if ($navn == 'Per'){
echo 'Hei Per';
} else {
echo 'Hei gjest';
}

og man setter inn dette som navn

PHP:
$navn =  "1 = 1){echo 'Javascript';} else if ('Per'";

så skulle man fått

PHP:
if (1 = 1){
echo 'Javascript';
} else if ('Per' == 'Per'){
echo 'Hei Per';
} else {
echo 'Hei gjest';
}

Man kan sette inn ting i en mysql spørring. Er php fullstendig sikret for slik hacking?
 

adeneo

Medlem
PHP er ikke sikkert i det hele tatt, det er i grunn ingenting som er sikkert.

Ta for eksempelet det du viser ovenfor, dette er jo forsåvidt sikkert, å sette inn merkelige GET verdier kommer kun tilbake til din nettleser ettersom det ikke lagres noe sted og derfor ikke påvirker andre brukere.
Derimot dersom du har gjort noe feil i PHP koden som gjør at noen kan sette inn system, exec, eval eller lignende gjennom en querystring, så har du et problem ettersom det da blir mulig å kjøre programmer direkte på serveren din.

Det samme gjelder med SQL injection, dersom GET, POST eller andre ting som kommer fra et eksternt sted settes direkte inn i databasen, eller på andre måter ikke er sikret, så vil det være mulig å lagre ting og påvirke det som også vises til andre brukere, og det er jo ofte det man er ute etter, i tillegg til å ta kontroll over serveren din.
 
Topp