問題タブ [code-injection]

ブリッジ先のクラスに実装することなく、データに JSON を使用してクラス インスタンスで HTTP リクエストをブリッジできるクラスを作成しています。基本的には、これがどのように機能するかです：

クラスはリクエストのJsonHttpInterfaceをチェックし、PATH_INFOそのメソッドを呼び出して、クエリ文字列パラメーターを引数として適用します。

http://example.com/the_above.php/getWeather?state="CA"
$service->getWeather("CA")(最初の引数の名前が であると仮定して) に変換され$stateます。

メソッドを見つけて呼び出す方法は次のとおりです。

今、私が疑問に思っているのは、そのようなシステムの脆弱性は何かということです。私はエラーチェックにかなり寛大で、存在しないメソッドやプライベート/保護されたメソッドを呼び出そうとしたときにエラーをスローするために PHP に依存しています。

• システムをだますことは可能ですか？
• エラーをスローする以外のことをする無効なメソッド名を渡すことは可能ですか?
• 基本クラスまたは他のクラスのメソッドを参照することは可能ですか?

JsonHttpInterface の完全なソースは、http://blixt.org/js/two-cents.php から入手できます。

私は現在 DLL インジェクションを扱っており、実行可能ファイルと DLL の両方として機能する単一のハイブリッド バイナリが必要です。DllMain および WinMain 関数を作成してから、実行可能ファイルとしてコンパイルすることを考えましたが、それを実行するとどうなるかわかりません。thinstall のようなものを使用するか、一時的な場所に dll を抽出してそこから移動することで、dll と exe を組み合わせることが可能であることは知っていますが、そのようなことを台無しにしたくありません。基本的に、WinMain と Dll Main を定義して、結果の実行可能ファイルを両方として使用することは可能ですか? 前もって感謝します！

jquery を使用して、親 div 内の子要素の数を取得しています。

次に、を使用して、含まれている div 要素の数を別の div と呼ばれるappend()div に挿入したいと思います#slideshow.mainImageBrowserTabButtonWrapper

これに関する助けをいただければ幸いです。

編集

私の最初の質問は、私が望んでいたことをうまく説明していなかったことに気づきました。

要素の数#slideshowが3であるとしましょう。次に、他の3つのdivを挿入したいと思います.mainImageBrowserTabButtonWrapper

別のJavaScript関数にJavaScriptを挿入する必要があるという奇妙な質問があります。ロックされているフレームワークを使用しているため、既存の機能を変更できません。

私が持っているのはこのようなものです

... ***

***（上記）を操作することはできますが、doSomething関数を変更することはできません...代わりに、doSomethingコードの最後に数行のコードを挿入する必要があります。

これを行う必要がある理由は、カスタムフレームワークがdoSomething（）を呼び出すため、抽出する必要のあるIDがサーバーから返されるためです。このIDは、doSomething関数内でのみ参照されるため、その関数にコードを挿入しない限り、それをキャッチすることはできません（何かを見逃していない限り）。

これを行う方法はありますか？

XSS インジェクションを防ぐのに十分な2 つのマーク<を付けるかどうかを知りたいですか?>

そうでない場合、なぜですか？そして、最善の解決策は何ですか？

句に条件があるSQLite場所のクエリを作成するときにSQLインジェクションを防ぐ方法を教えてもらえますか？WHERE"myval IN (string_1, ... , string_n)"

注釈付きのコマンドテキストを動的に構築し、文字列リストからそれらの注釈のパラメーターを追加することについては考えました。もっと簡単な方法はありますか？

ありがとう。

私のJoomla！ウェブサイトは繰り返しハッキングされています。誰かが、どういうわけか、次のゴミを主要なphpスクリプトに注入することができましたが、私はJoomlaの構成について話さないつもりです。このサイトはあまり訪問されておらず（私がそのサイトへの唯一の訪問者であるのではないかと心配することもあります...）、サイトを復旧して稼働させることはあまり気にしません。最終的にはそれを処理します。

私の質問は、このゴミはどのように機能するのかということです。私はそれを見て、これがどのように害を及ぼすのかわかりませんか？これは、トロイの木馬に感染したChangeLog.pdfというPDFファイルをダウンロードしようとします。これを開くと、Acrobatがフリーズし、マシンに大混乱をもたらします。それはどうやってそれをするのか、私にはわかりません、私は気にしません。しかし、次のスクリプトはどのようにダウンロードを呼び出しますか？

ESETは、このコードをJS /TrojanDownloader.Agent.NROtrojanとして検出しました

私はJSだけの領域からphpとAjaxに移行しています。私は過去にPHPを少し使ったことがあります。私は、stackoverflowが基本的な質問を手伝ってくれたことに本当に感謝しています。

と呼ばれるdivがあるとしましょう#divName。

Ajaxには次のJSを使用しています。これのいくつかは単なる擬似コードです。

私は私のfileName.phpファイルを持っています：

私の目標は、実行するときにgetAjaxInfo()、必要なPHP関数をプルできることです。

したがって、onClick="getAjaxInfo(header)「」を実行すると、phpヘッダー関数が取得され、javascript関数に適用されてから、divに適用されます。

どんな助けでもいただければ幸いです！

最近、PHP スクリプトを使用してアフィリエイト リンクをリダイレクトする方法に関するブログ記事を見つけました。このスクリプトが安全かどうかを考えさせられました。$_GET 変数を使用すると脆弱性が発生する可能性があると聞きました。

任意の提案をいただければ幸いです。これを防ぐには、英数字とハイフン ('-') の入力をチェックするだけで十分でしょうか?

このスクリプトの場合、リンクは次の形式になります。

http://www.somesite.com/amazon.php?asin=XXXXXXXXXX

また

http://www.somesite.com/amazon.php?id=some-keyword

amazon.php は次のとおりです。

いつもありがとう！

私はかなり静的なウェブサイトを持っています。連絡先情報、メーリングリストの提出などを送信するためのフォームがいくつかあります。サイトにアップロードしてからおそらく数時間または数日後に、メインのインデックスページに、私が配置していない新しいコードが含まれていることがわかりました。非表示の div 内のリンクの束。

フォームから送信された変数を処理する次のコードがあります。

インデックスページ内に次のコードがあり、フォームに Javascript を表示して、送信前に送信内容のエラー検出を行います。

最終的に、ハイパーリンクが挿入されたソース コードは次のようになります。