Безопасность скриптовСканер SQL-Injection на PHP

Июнь 29, 2010 → 5 Comments


Данный Injection Scanner — это PHP-сценарий, который анализирует строки запроса в URL. Сравнивая строку запроса с известной инъекцией, удаляет лишний код, нейтрализуя попытку взлома, по утверждению автора достаточно эффективно справляется со своей задачей. Алгоритм работы таков — когда сплоит обнаружен, сценарий останавливает все PHP процессы, обрабатывающие запросы к базе данных и информирует посетителя про обнаружение. IP адреса, связанные с инъекциями, могут быть запрещены для страниц, на которых включен скрипт, но при наличии прокси и генерации псевдо-IP-адресов, по моему данная функция не оправдывает себя.

Способ подключения:

<html>
<head>
<title> Тест </title>
</head>
<body>
< ? php include ('/absolute/path/to/scan.php ');?>
< ? php 
echo "Бла-бла-бла!"; 
?>
</body>
</html>

Там где /absolute/path/to/scan.php прописывайте свой путь к файлу scan.php. Обратите, также внимание на версию php, нужна на меньше 5, желательно 5.2.5. Методом эксперимента можно потестить и на других. В целом не плохой метод борьбы со взломами.

Скачать myPHPscripts Injection Scanner:

injection_scanner.zip



Если Вам понравилась эта статья,
!

Comments

  • http://freshgsm.ru Рон

    Нужно решать проблему, а не следствие. Поэтому сначала нужно понимание того как работает SQL инъекции, а после этого просто писать безопасный код.

  • http://chinacar.su Droni

    Спасибо, как раз искал подобный сканер. Мануал в архиве надеюсь есть.

  • http://fxgeneral.com/ трейдер forex

    Хорошая фича, надо будет опробовать её. Искал что-то похожее, но никак не мог найти. Спасибо

  • http://paysyst.ru srcguard

    2Рон
    если код сайта достаточно объемный, то гарантировать его безопасность очень трудно. Для таких случаев этот сканер и предназначен.
    Иногда подобные штуки становятся последним и непреодолимым препятствием на пути злоумышленника

  • http://my-aquarium.info/ Спартак

    Хм… Неплохая реализация. Спасибо!