PHP preg_replace used on user input

Questo script utilizza la funzione PHP preg_replace () sull’ input dell’utente. Questo non è consigliato in quanto può portare a diverse vulnerabilità.
Una delle più diffuse è quando l’attaccante modifica preg_replace () rendendolo parametro di sostituzione come codice PHP; dopo questa sostituzione il tutto è fatto. Se il pattern regex e le stringhe di sostituzione sono controllate dall’utente questo può condurre all’esecuzione di un codice PHP e quindi al controllo di vari apparati del sito da parte di un malintenzionato.

PHP userialize () used on user input

Questo script utilizza la funzione PHP unserialize () sull’ input dell’utente. Questo non è raccomandato in quanto può portare a diverse vulnerabilità.
unserialize () prende una variabile serializzata e la converte di nuovo in un valore PHP. Tuttavia, se la variabile da ripristinare è un oggetto, dopo la ricostruzione con successo l’oggetto PHP tenterà automaticamente di svolgere le funzioni __wakeup (), __destruct () che in certi casi, possono portare all’ esecuzione di codice PHP e quindi al controllo di processi del sito da parte di un attaccante.

Leggi anche il nostro articolo su PHP invalid data type errore message e PHP curl_exec() url is controlled by user.