Ho cercato di proteggere tutte le informazioni sul server per assicurarmi che non ci siano iniezioni SQL.
Tuttavia ci sono nuove cartelle sul mio server con nomi strani.
Uno dei nostri servizi online è tale che con determinati input, le directory vengono create con quel nome, ma solo dopo aver utilizzato mysql_real_escape_string
.
Questi sono i tipi di nomi di cartelle ora sul mio server:
<script>alert(42873)<
\'\"
%27
!(()
\r\n SomeCustomInjectedHeader:injected_by_wvs
&dir
dir�\'
exec
%code%
Che tipo di iniezione stava tentando di fare l'hacker? Sono il genere di cose che si aspettano dalle iniezioni SQL? O iniezioni javascript?
Questo è il codice che sto usando per creare cartelle:
$path = "designs_".$design->getDesignerType()."/product".$design->getProductID()."/template".$design->getTemplateID()."/".$design->getID();
if(!is_dir($path))
{ mkdir($path, 0777, TRUE); }
In realtà AM sto usando %code% , ma non per creare cartelle. Lo sto usando per altre cose come la creazione di PDF usando un file sorgente binario, come questo:
exec("prince /home/zeejfl6/public_html/printshop/".$filename.".html /home/zeejfl6/public_html/printshop/".$filename.".pdf");
e creazione di immagini, come questa:
$cmdi = "convert -density 300 -resize $io /home/zeejfl6/public_html/printshop/$filename.pdf -quality 100 -flatten /home/zeejfl6/public_html/printshop/$filename.jpg";
exec ($cmdi);