Эти хостинги отличаются
защитой от различных атак, таких как PHP- и
SQL-инъекции. Но на деле все защиты легко
обходятся.
1) union select.
Sweb - тут защита только в $_GET-переменных;
если есть возможность отправить данные методом
POST, то защита обходится.
Peterhost - фильтруются и $_GET, и $_POST
переменные, но обходится еще проще; достаточно
вместо пробела между словами union и select
вставить любые другие пробельные символы, такие
как символ табуляции, перевода каретки и прочее.
Вот их неполный список:
%09
%0a
%0b
%0c
%0d
2) order by. В обоих случаях
вместо order by можно использовать group by, про
который сотрудники хостингов, видимо, не знают.
Так же можно написать буквы в разных регистрах,
oRdEr bY, либо использовать вышеперечисленные
пробельные символы.
3) PHP-injection. На самом
деле здесь абсолютно никакой защиты нет, разве
что свеб хостинг пугает нас страшными ошибками,
если в переменной указать /etc/passwd, хотя
никто не помешает проверять наличие инклудов
другими файлами, например /etc/hosts.
