Как обезопасить PHP от копилки?

Эта статья, похоже, относится к уязвимому веб-приложению, а не к PHP.

Этот предыдущий поток предоставляет полезную информацию о написании безопасного кода PHP:

Какие проблемы безопасности я должен высматривать в PHP

Если мы возьмем часть статьи "Они использовали эти уязвимости для внедрения кода PHP в сайт" буквально, то разработчики, вероятно, использовали ввод пользователя с помощью операторов include/require или eval.

Первая ссылка на общую тему должна дать вам некоторый обзор.

Вторая ссылка специфична для PHP / SQL и должна привести вас к просветлению.

Статья не особенно ясна, но я предполагаю, что они просто использовали SQL-инъекцию и, чтобы избежать обнаружения, они вставили скрипт, который фактически не менял поведение сайта, если посетитель не пришел из Google с помощью релевантный поисковый термин, и автор называет перенаправление в этой ситуации "контрейлерными".

Итак: экранируйте и подтвердите весь ввод пользователя.

В новостной статье BBC говорится о " постоянном xss". Оставьте это в новостях, чтобы поговорить о взломе, не упоминая об уязвимостях. Но это может быть из-за того, что bbc.co.uk не знает, что такое уязвимость xss, потому что если бы они это сделали, они бы исправили свой собственный чертов сайт!,

Есть много способов добиться удаленного выполнения кода в веб-приложении PHP. Никто никогда не должен называть это "инъекцией PHP", если они называют это так, то они не знают, о чем говорят. Study In Scarlet - отличная статья, в которой подробно описываются различные методы, которые злоумышленник может использовать для получения удаленного выполнения кода в приложении PHP. Эта статья предназначена для злоумышленников, а не разработчиков.

XSS, безусловно, самый простой и распространенный способ, чтобы подлым образом размещать рекламу на чьем-либо сайте.