Сканер SQL-Injection на PHP
Данный Injection Scanner — это PHP-сценарий, который анализирует строки запроса в URL. Сравнивая строку запроса с известной инъекцией, удаляет лишний код, нейтрализуя попытку взлома, по утверждению автора достаточно эффективно справляется со своей задачей. Алгоритм работы таков — когда сплоит обнаружен, сценарий останавливает все PHP процессы, обрабатывающие запросы к базе данных и информирует посетителя про обнаружение. IP адреса, связанные с инъекциями, могут быть запрещены для страниц, на которых включен скрипт, но при наличии прокси и генерации псевдо-IP-адресов, по моему данная функция не оправдывает себя.
<html> <head> <title> Тест </title> </head> <body> < ? php include ('/absolute/path/to/scan.php ');?> < ? php echo "Бла-бла-бла!"; ?> </body> </html> |
Там где /absolute/path/to/scan.php прописывайте свой путь к файлу scan.php. Обратите, также внимание на версию php, нужна на меньше 5, желательно 5.2.5. Методом эксперимента можно потестить и на других. В целом не плохой метод борьбы со взломами.
Нужно решать проблему, а не следствие. Поэтому сначала нужно понимание того как работает SQL инъекции, а после этого просто писать безопасный код.
Спасибо, как раз искал подобный сканер. Мануал в архиве надеюсь есть.
Хорошая фича, надо будет опробовать её. Искал что-то похожее, но никак не мог найти. Спасибо
2Рон
если код сайта достаточно объемный, то гарантировать его безопасность очень трудно. Для таких случаев этот сканер и предназначен.
Иногда подобные штуки становятся последним и непреодолимым препятствием на пути злоумышленника
Хм… Неплохая реализация. Спасибо!