He intentado asegurar toda la información que va al servidor para asegurarme de que no haya inyecciones de SQL.
Sin embargo, hay nuevas carpetas en mi servidor con nombres extraños.
Uno de nuestros servicios en línea es tal que con ciertas entradas, los directorios se hacen con ese nombre, pero solo después de usar mysql_real_escape_string
.
Estos son los tipos de nombres de carpetas ahora en mi servidor:
<script>alert(42873)<
\'\"
%27
!(()
\r\n SomeCustomInjectedHeader:injected_by_wvs
&dir
dir�\'
exec
%code%
¿Qué tipo de inyección estaba tratando de hacer el hacker? ¿Son el tipo de cosa que se puede esperar de las inyecciones de SQL? ¿O inyecciones de javascript?
Este es el código que estoy usando para crear carpetas:
$path = "designs_".$design->getDesignerType()."/product".$design->getProductID()."/template".$design->getTemplateID()."/".$design->getID();
if(!is_dir($path))
{ mkdir($path, 0777, TRUE); }
En realidad, estoy usando %code% , pero no para crear carpetas. Lo estoy usando para otras cosas, como crear archivos PDF utilizando un archivo fuente binario, como este:
exec("prince /home/zeejfl6/public_html/printshop/".$filename.".html /home/zeejfl6/public_html/printshop/".$filename.".pdf");
y haciendo imágenes, como esta:
$cmdi = "convert -density 300 -resize $io /home/zeejfl6/public_html/printshop/$filename.pdf -quality 100 -flatten /home/zeejfl6/public_html/printshop/$filename.jpg";
exec ($cmdi);