Возможно ли внедрение SQL с file_get_contents ("php: // input");или можно только с get и post? - PullRequest
2 голосов
/ 01 марта 2012

У меня есть сайт, который общается со встроенным объектом SWF. Флэш-память запускает команду sendAndLoad ("URL", получатель) для передачи XML-строк на сервер, а сервер использует file_get_contents ("php: // input") для получения XML-строки из флэш-памяти. Должен ли я беспокоиться об атаках SQL инъекций?

1 Ответ

3 голосов
/ 01 марта 2012

Краткий ответ: Да

Немного более длинный ответ: хотя это и неочевидно, запрос МОЖЕТ быть подделан и вызвать инъекцию, если данные не экранированы должным образом. Тот факт, что данные обычно поступают с флэш-объекта, не означает, что нельзя создать собственный сценарий для отправки вредоносных данных.

...