O que é PHP injection e qual a diferença para SQL injection?

Neste artigo veremos o que é PHP injection e também qual a diferença para a outra prática de invasão conhecida como SQL injection

Fala programador(a), beleza? Bora aprender mais sobre PHP injection e SQL injection!

A prática de PHP injection difere de SQL injection, por mais que muitas vezes sejam confundidas

A SQL injection é feita através de uma query inserida no seu sistema indevidamente

Já a injeção de PHP é uma invasão com código de PHP, ou por arquivo que contenha PHP

Como acontece o PHP injection?

O atacante injeta de alguma forma um script no seu site, posteriormente executando-o

A forma que este script é injetado varia, mas na maioria das vezes é por um formulário de upload de arquivos com tratamentos errados na parte do servidor

Permitindo que arquivos de qualquer extensão sejam enviados, então o invasor envia um arquivo .php

E depois executa este arquivo, por meio de uma URL, por exemplo

E assim ele pode ter controle sobre tudo que está no servidor, deletando arquivos ou até entrar no seu banco de dados para o roubo de dados

Como evitar o PHP injection?

A forma se parece um pouco com a de SQL injection: devemos tratar TODOS os dados enviados por clientes

Desde dados comuns até arquivos

A ideia é que se façam também testes para que a possibilidade tanto de inserções de SQL quanto de PHP injections sejam eliminadas

Só assim o software pode ficar livres destas invasões

Conclusão

Neste artigo vimos o que é PHP injection e também como se proteger deste ataque

Foi levantada a questão da confusão deste tipo de ataque com SQL injection

Porém a grande diferença é que o SQL injection é feito com inserção de código SQL em outras brechas de interações realizadas com o banco

Já o PHP injection geralmente é feito pelo envio de um arquivo .php em um formulário de upload

Confira também nosso catálogo de cursos gratuitos, com aulas semanais no YouTube