Stack Overflow em Português Asked by reigelado on December 22, 2021
Eu estava dando uma olhada em artigos da owasp sobre segurança e gostaria de entender o que é o PHP Object Injection
meu inglês não é muito bom então em minha busca encontrei esse tópico no stackoverflow brasileiro.
Só que mesmo assim não ficou claro para mim como um usuário poderia injetar código PHP em meus projetos, não sabia que usar unserialiaze e serialize em dados que o usuário envia não é uma boa ideia.
Meu projeto está na seguinte situação, o usuário seleciona alguns campos e envia eles eu valido sé de fato é uma url ( porque isso que vai ser serializado ) e depois de validado transformo em base64 para inserir no banco.
Assim:
foreach ($Screen as $key => $value) {
if (filter_var($value, FILTER_VALIDATE_URL)) {
$Options["screen_".($key+1)] = stringMysql($value);
} else {
$Erro = "Url inválida!";
break;
}
A função stringMysql escapa os caracteres, antes de inserir no banco de dados. Eu depois dou um unserialize em uma página para exibir as urls.
O meu projeto está vulnerável?
Get help from others!
Recent Questions
Recent Answers
© 2024 TransWikia.com. All rights reserved. Sites we Love: PCI Database, UKBizDB, Menu Kuliner, Sharing RPP