Инъекция HTML в мой сайт
Ну, у меня есть большая проблема: весь день кто-то вставляет HTML-код в мой index.php, и я не знаю как, это вставленный код:
<iframe src=**bad url was here** width=0 height=0 frameborder=0></iframe>
Я уже пробовал это, чтобы предотвратить эту проблему:
$_GET = Sanitize::filter($_GET);
$_POST = Sanitize::filter($_POST)
Мой класс Sanitize фильтрует все содержимое в $ _gET и $ _POST, но проблема сохраняется.
Это мой файл Sanitize:
abstract class Sanitize {
/**
* Filter
*
* @param mixed $value
* @param array $modes
* @return mixed
* @static
* @since 1.0
*/
static public function filter($value, $modes = array('sql', 'html')) {
if (!is_array($modes)) {
$modes = array($modes);
}
if (is_string($value)) {
foreach ($modes as $type) {
$value = self::_doFilter($value, $type);
}
return $value;
}
foreach ($value as $key => $toSanatize) {
if (is_array($toSanatize)) {
$value[$key]= self::filter($toSanatize, $modes);
} else {
foreach ($modes as $type) {
$value[$key] = self::_doFilter($toSanatize, $type);
}
}
}
return $value;
}
/**
* DoFilter
*
* @param mixed $value
* @param array $modes
* @return mixed
* @static
* @since 1.0
*/
static protected function _doFilter($value, $mode) {
switch ($mode) {
case 'html':
$value = strip_tags($value);
$value = addslashes($value);
$value = htmlspecialchars($value);
break;
case 'sql':
$value = preg_replace(sql_regcase('/(from|select|insert|delete|where|drop table|show tables|#|\*| |\\\\)/'),'',$value);
$value = trim($value);
break;
}
return $value;
}
}
И некоторые файлы вставлены в мою папку public_html, я не знаю как.
Решение
Сначала убей этот фрейм
iframe[src="bad url was here"]{
display: none;
}
И смени пароль и логин.
Другие решения
Других решений пока нет …