Простой поисковый запрос [extension:php mysql_query $_GET] на Гитхабе выдает десятки тысяч проектов, уязвимых для SQL-инъекций.

Использование $_GET в запросе MySQL практически наверняка указывает на старый PHP-код, который уязвим для внедрения произвольного SQL-кода. Остается только посмотреть на странице проекта, на каком конкретно сайте или в каком приложении работает этот код.

Как известно, внедрение SQL-кода — один из самых распространенных методов взлома сайтов и программ, работающих с базами данных. Неудивительно, что способ настолько популярен, ведь только в публичных репозиториях нашлось более 75 тыс. уязвимых проектов.

Естественно, поиск на Гитхабе можно использовать также для поиска других видов уязвимостей, в том числе XSS.

Способ работает не только на Гитхабе, но и на других поисковиках по коду.



Оставить мнение