Эти хостинги отличаются
защитой от различных атак, таких как PHP- и
SQL-инъекции. Но на деле все защиты легко
обходятся.

1) union select.
Sweb — тут защита только в $_GET-переменных;
если есть возможность отправить данные методом
POST, то защита обходится.

Peterhost — фильтруются и $_GET, и $_POST
переменные, но обходится еще проще; достаточно
вместо пробела между словами union и select
вставить любые другие пробельные символы, такие
как символ табуляции, перевода каретки и прочее.
Вот их неполный список:

%09
%0a
%0b
%0c
%0d

2) order by. В обоих случаях
вместо order by можно использовать group by, про
который сотрудники хостингов, видимо, не знают.
Так же можно написать буквы в разных регистрах,
oRdEr bY, либо использовать вышеперечисленные
пробельные символы.

3) PHP-injection. На самом
деле здесь абсолютно никакой защиты нет, разве
что свеб хостинг пугает нас страшными ошибками,
если в переменной указать /etc/passwd, хотя
никто не помешает проверять наличие инклудов
другими файлами, например /etc/hosts.

Оставить мнение

Check Also

Что можно сделать с iPhone, зная пасскод. Как сливают данные, уводят iCloud и блокируют остальные устройства

Последние несколько месяцев мы много писали о нововведениях в iOS 11. «Теперь-то заживем!»…