Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Wordpress plugin можно ли перехватить содержимое POST?
Если задаю глупый вопрос, прошу меня великодушно простить. На углубленное изучение времени нет ... хакеры "имеют" мой блог "и в хвост и в гриву". Не знаю за что хвататься... Пытаюсь как то противостоять происходящему ...
В первом посте не совсем полно описал задачу ... кроме длинны передаваемого запроса, нужно проверять не передается ли зловредный код через любую форму моего блога (пример eval(, .php .sh и т.д. ). Форм понаписал много, вроде кое где проверил, но хотелось бы универсальности т.к. сайт у меня не один.
Буду признателен за Вашу помощь.
Подскажите пожалуйста как это сделать, если такое возможно ...
P.S. Для GET я вроде бы все необходимое уже написал, наверное для POST нужно как то по другому описывать?
snikers987
Отправлено: 23 Ноября, 2011 - 11:02:14
Участник
Покинул форум
Сообщений всего: 1239
Дата рег-ции: Сент. 2011 Откуда: Крым
Покинул форум
Сообщений всего: 27
Дата рег-ции: Нояб. 2011
Помог: 0 раз(а)
Спасибо Вам за Вашу помощь.
Вы дали имена функций, которые необходимо встроить внутрь обработчика каждой формы, это очень полезная информация. Но у меня два десятка сайтов и три из них в данное время атакуются взломщиками всех мастей. Прям как полигон для тренировок ...
И это еще не все сайты ... мне нужно сделать еще как минимум десяток сайтов. Если я буду проверять все формы которые сделал я и все формы которые сделал кто то (плагины) ... то на это уйдет много времени.
Я думал, что есть возможность глобально проверять значения POST так же как и GET. А уже когда отбиться от основной атаки то пересмотреть те формы которые есть на сайте ... свои то формы я посмотреть смогу, но есть плагины например ContactForm в которых тоже могут быть уязвимости, но при этом у меня опыта не хватит чтобы проверить такие плагины на уязвимость.
По этому для меня (как панацея на первое время) найти решение глобально проверять все данные передаваемые методом POST.
Если есть такая возможность, подскажите пожалуйста ...
filkeith
Отправлено: 23 Ноября, 2011 - 14:56:28
Гость
Покинул форум
Сообщений всего: 112
Дата рег-ции: Июль 2011
Помог: 2 раз(а)
т.е. надо перебоать все данные что передаются в POST и проверить их?
если да то:
Покинул форум
Сообщений всего: 27
Дата рег-ции: Нояб. 2011
Помог: 0 раз(а)
filkeith пишет:
хотя я опять чего то не понимаю. Это ж всёравно во все абработчики пихать надо, лучше буду молчать
Почему Вы не понимаете, это я не понимаю
Ваш пример просто СУПЕР! О Вашем примере мы обязательно поговорим подробнее ...
Попробую перефразировать свой вопрос. Переменная POST она глобальная?
Например кто то вводит данные в плагин Contact form , я могу прочитать передаваемые данные формы в моем плагине?
filkeith
Отправлено: 23 Ноября, 2011 - 15:46:46
Гость
Покинул форум
Сообщений всего: 112
Дата рег-ции: Июль 2011
Помог: 2 раз(а)
dmitry пишет:
Например кто то вводит данные в плагин Contact form , я могу прочитать передаваемые данные формы в моем плагине?
я что то туплю просто
Теперь понял что надо, но вопрос, ваш плагин с проверкой $_SERVER['REQUEST_URI'] он же должен на каждой странице срабатывать, т.е. его надо на каждую страницу добавить, так?
dmitry
Отправлено: 23 Ноября, 2011 - 15:56:26
Новичок
Покинул форум
Сообщений всего: 27
Дата рег-ции: Нояб. 2011
Помог: 0 раз(а)
filkeith пишет:
dmitry пишет:
Например кто то вводит данные в плагин Contact form , я могу прочитать передаваемые данные формы в моем плагине?
я что то туплю просто
Теперь понял что надо, но вопрос, ваш плагин с проверкой $_SERVER['REQUEST_URI'] он же должен на каждой странице срабатывать, т.е. его надо на каждую страницу добавить, так?
Да плагин обрабатывает все страницы. Если посетитель сайта предпринял какие то противоправные действия, то плагин его банит на сутки (ведет лог, чтобы можно было глянуть что посетители делают). С $_SERVER['REQUEST_URI'] работает все отлично, но как я понимаю, $_SERVER['REQUEST_URI'] это метод GET, а мне нужно еще обезопасить метод POST или это одно и тоже?
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.