Son zamanlarda "RFI" (Remote File Include) tarzı yöntemlerle birçok hack olayı yaşanıyor birçok kişi bunların önlemini almakta çaresiz kalıyor ve bu yüzden gerek itibarlarından gerekse sitelerinden oluyorlar. "RFI" açıklarını engelleyemeyenler için bir döküman yazmaya karar verdim. Bu sayede "RFI" açığınız olsa bile en az zararla hatta "0" zararla nasıl kurtulacağınızı anlatacağım. Bu ayarlar sayesinde hem güvenliğinizi hem de performansınızı artırmış olacaksınız.

Stefan Esser tarafından rapor edilen güvenlik açığı kötü amaçlı kişilerin önemli bilgileri görüntüleyebilmelerine izin verebiliyor.

Açık unserialize() fonksiyonunda S: veri tiplerini işlemedeki bir hatadan kaynaklanıyor.

Açığın 5.2.1 sürümünde olduğu rapor edildi.

Çözüm:

PHPi script'lerinizin güvenli olduğundan emin olmanız için ilk olarak temel kuralları yerine getirmeniz gerekiyor: kullanıcı girdilerinin (input) filtrelenmesi ve çıktıların (output) kontrolü. Eğer bu ikisini doğru olarak yapmıyorsanız script'leriniz her zaman güvenlik problemleri ile karşı karşıya olacaktır. Bu makale'de bu iki işlem ile ilgili yapılması gerekenler anlatılıyor.

L14 tarafından yazılmış bir article`dan (2600)

PHPi genelde dinamik içeriği olan http sunucularında kullanılan bir script dili. PHP`nin C ve Perl`e pek çok benzerliği var ancak biraz daha basitleştirilmiş. Web sitesi geliştirmekle alakası olmayan şeyler kaldırıldığı için bu PHP`yi çalışılması gereken güzel bir dil yapıyor.