Недавно мой сайт подвергся нападению, как мне показалось, невинным кодом:
<?php
if ( isset( $ _GET['page'] ) ) {
include( $ _GET['page'] . ".php" );
} else {
include("home.php");
}
?>
Там, где нет вызовов SQL, поэтому я не боялся SQL Injection. Но, судя по всему, SQL - это не единственный вид инъекции.
На этом веб-сайте есть объяснение и несколько примеров предотвращения ввода кода: http://www.theserverpages.com/articles/webmasters/php/security/Code_Injection_Vulnerabilities_Explained.html
Как вы защитите этот код от ввода кода?