Co je to PHP Injection
Mnoho webových stránek v dnešní době není zabezpečeno proti PHP Injection. Mezi tyto stránky patří hlavně soukromé webové stránky založené amatérskými uživateli, avšak občas se to týká i větších webových stránek.
Co to vlastně znamená? Programátoři dělají občas ve svých stránkách tu chybu, že na nich uveřejní kód ve stylu <? include($promenna); ?>. Pokud se proměnná načítá z adresního řádku (metodou get nebo require), mají hackeři již téměř vyhráno.
V adresním řádku si totiž mohou přepsat onu proměnnou na libovolnou adresu jiné webové stránky - s největší pravděpodobností tedy té, která jim umožní napadenou stránku libovolně editovat.
Příklad:
http://neco.cz/?promenna=http://panickov.estranky.cz
Do napadeného webu tedy bude vložen zdrojový kód našeho webu (což ovšem zrovna v tomto případě bude celkem k ničemu).
Je však důležité, aby na napadeném webu neběžela funkce safe_mode. Ta kontroluje zabezpečení sdíleného hostingového serveru. Pokud je safe_mode zapnuto a stránka kterou chceme vložit běží na jiném serveru, příkaz nebude vykonán.