PHP preg_replace used on user input

Questo script utilizza la funzione PHP preg_replace () sull’ input dell’utente. Questo non è consigliato in quanto può portare a diverse vulnerabilità.
Una delle più diffuse è quando l’attaccante modifica preg_replace () rendendolo parametro di sostituzione come codice PHP; dopo questa sostituzione il tutto è fatto. Se il pattern regex e le stringhe di sostituzione sono controllate dall’utente questo può condurre all’esecuzione di un codice PHP e quindi al controllo di vari apparati del sito da parte di un malintenzionato.

PHP userialize () used on user input

Questo script utilizza la funzione PHP unserialize () sull’ input dell’utente. Questo non è raccomandato in quanto può portare a diverse vulnerabilità.
unserialize () prende una variabile serializzata e la converte di nuovo in un valore PHP. Tuttavia, se la variabile da ripristinare è un oggetto, dopo la ricostruzione con successo l’oggetto PHP tenterà automaticamente di svolgere le funzioni __wakeup (), __destruct () che in certi casi, possono portare all’ esecuzione di codice PHP e quindi al controllo di processi del sito da parte di un attaccante.

Leggi anche il nostro articolo su PHP invalid data type errore message e PHP curl_exec() url is controlled by user.

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.