4
PHP - Datenbasis von filter input manipulieren
Hallo,
vieleicht hat ja noch Jemand von Euch eine Idee.
Für eine ältere Web-App würde ich gerne die GET und POST Variablen vorfiltern.
Es handelt sich um eine Software die auf einem LAMP-Server mit PHP 7.2 läuft.
Ich weiß, dass die Software für MySQL-Injections anfällig ist. Ich kann sie nicht hinter eine WAF oder Proxy stecken noch den Code ändern.
Der Programmierer steht auch nicht mehr zur Verfügung.
Ich kann mit auto_prepend_file aber eine PHP-Datei vor der Web-App ausführung und den Inhalt von $_GET und $_POST direkt manipulieren.
Leider nutzt die Software filter_input was sich davon unbeeindruckt zeigt.
Weis Jemand wie ich die Datenbasis von filter_input manipulieren kann?
Danke
Stefan
PS: Von PHP selber gibt es kein Forum und mit den Stichworten "PHP Forum" findet man viele Anbieter von Forensoftware auf PHP Basis.
vieleicht hat ja noch Jemand von Euch eine Idee.
Für eine ältere Web-App würde ich gerne die GET und POST Variablen vorfiltern.
Es handelt sich um eine Software die auf einem LAMP-Server mit PHP 7.2 läuft.
Ich weiß, dass die Software für MySQL-Injections anfällig ist. Ich kann sie nicht hinter eine WAF oder Proxy stecken noch den Code ändern.
Der Programmierer steht auch nicht mehr zur Verfügung.
Ich kann mit auto_prepend_file aber eine PHP-Datei vor der Web-App ausführung und den Inhalt von $_GET und $_POST direkt manipulieren.
Leider nutzt die Software filter_input was sich davon unbeeindruckt zeigt.
Weis Jemand wie ich die Datenbasis von filter_input manipulieren kann?
Danke
Stefan
PS: Von PHP selber gibt es kein Forum und mit den Stichworten "PHP Forum" findet man viele Anbieter von Forensoftware auf PHP Basis.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1933268604
Url: https://administrator.de/forum/php-datenbasis-von-filter-input-manipulieren-1933268604.html
Ausgedruckt am: 14.04.2025 um 09:04 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
ja dann zeig uns doch mal deine prepend_file, meine Glaskugel ist grad im Service
ja dann zeig uns doch mal deine prepend_file, meine Glaskugel ist grad im Service
???
Die ist aktuell noch leer.
Ich kann den Inhalt eines Get- oder Post-Parameters über die Supervariable überschreiben.
$_GET['xyz'] = "blocked";
Aber ich kann den Inhalt auf den filter_input zugreifen nicht manipulieren?
Ich vermute eh, dass es nicht möglich ist, aber vieleicht ja doch.
Stefan
Hallo,
so ich hab da jetzt auch ein wenig herumprobiert, scheint so als holt der sich die RAW Daten.
Was mir als alternative einfallen würde, wäre ein "proxy" script, welches man sich über mod-reqrite dazwsichenhängt, dass dann die bösen Gets filtert und mit einem header(Location: .. ) wieder weiterletiet.
grüße
so ich hab da jetzt auch ein wenig herumprobiert, scheint so als holt der sich die RAW Daten.
Was mir als alternative einfallen würde, wäre ein "proxy" script, welches man sich über mod-reqrite dazwsichenhängt, dass dann die bösen Gets filtert und mit einem header(Location: .. ) wieder weiterletiet.
grüße
Zitat von @godlie:
so ich hab da jetzt auch ein wenig herumprobiert, scheint so als holt der sich die RAW Daten.
befürchte ich ja auch.so ich hab da jetzt auch ein wenig herumprobiert, scheint so als holt der sich die RAW Daten.
Was mir als alternative einfallen würde, wäre ein "proxy" script
Das funktioniert mit der Software leider nicht.
