Я создаю кнопку на своем веб-сайте, которая при нажатии на API вызывает с другого сайта с помощью PHP. Я должен поместить мои данные для входа в качестве переменных в моем PHP. Я видел некоторые эксплойты, где хакеры могут получать значения в переменных PHP, введя что-то в адресной строке? Не уверен, что это XSS или SQL-инъекция или что-то еще, но я видел, где он будет печатать код PHP в формате XML.PHP-переменные безопасны в POST
Вот пример:
if (isset($_POST['submit'])) {
$time = time(true);
$prize = 200;
$ID = "my_secret_API_ID";
$Password = "my_secret_API_Password";
$APIcall = json_decode(file_get_contents("https://apiwebsite/developer/$ID/get_info&pw=$Password"), true);
$display = $APIcall ['some_info'];
echo $display;
}
ли мои регистрационные данные в безопасности? Должен ли я сделать их глобальными переменными за пределами $ _POST? Должен ли я определять их в отдельном файле PHP целиком, а затем использовать include? Есть ли разница?
Хорошо спасибо. Поэтому, когда я видел, как хакеры используют сайт в адресной строке и показывают некоторые из кода веб-сайта, заключается только в том, что их форма не была должным образом экранирована/дезинформирована? – m1xolyd1an
@ m1xolyd1an Дело в том, что как вы имеете дело с данными, а не с данными. Любая уязвимость вызвана неправильной интерпретацией некоторых данных (которые передаются или передаются откуда-то) – zerkms