Neste artigo veremos o que é PHP injection e também qual a diferença para a outra prática de invasão conhecida como SQL injection
Fala programador(a), beleza? Bora aprender mais sobre PHP injection e SQL injection!
A prática de PHP injection difere de SQL injection, por mais que muitas vezes sejam confundidas
A SQL injection é feita através de uma query inserida no seu sistema indevidamente
Já a injeção de PHP é uma invasão com código de PHP, ou por arquivo que contenha PHP
Como acontece o PHP injection?
O atacante injeta de alguma forma um script no seu site, posteriormente executando-o
A forma que este script é injetado varia, mas na maioria das vezes é por um formulário de upload de arquivos com tratamentos errados na parte do servidor
Permitindo que arquivos de qualquer extensão sejam enviados, então o invasor envia um arquivo .php
E depois executa este arquivo, por meio de uma URL, por exemplo
E assim ele pode ter controle sobre tudo que está no servidor, deletando arquivos ou até entrar no seu banco de dados para o roubo de dados
Como evitar o PHP injection?
A forma se parece um pouco com a de SQL injection: devemos tratar TODOS os dados enviados por clientes
Desde dados comuns até arquivos
A ideia é que se façam também testes para que a possibilidade tanto de inserções de SQL quanto de PHP injections sejam eliminadas
Só assim o software pode ficar livres destas invasões
Conclusão
Neste artigo vimos o que é PHP injection e também como se proteger deste ataque
Foi levantada a questão da confusão deste tipo de ataque com SQL injection
Porém a grande diferença é que o SQL injection é feito com inserção de código SQL em outras brechas de interações realizadas com o banco
Já o PHP injection geralmente é feito pelo envio de um arquivo .php em um formulário de upload
Confira também nosso catálogo de cursos gratuitos, com aulas semanais no YouTube