Intento de inyección de código

[Giezzy]

Alguien está intentando inyectar código a uno de mis sitios. Me ha aparecido esta línea como búsqueda ingresada 5 veces el día de hoy:
data:,<?php eval($_get[a]); ?>
Pregunta ¿Cómo puedo verificar que mi sitio esté "seguro" de este tipo de inyecciones?
Algún Gurú que me quiera ayudar?

 

[Jorge Reyes]

Los "eval" son como una puerta a tu web, mira con ese código te pueden hackear de la siguiente forma

archivo.php?a= aquí el código por ejemplo si pones "phpinfo();" te tirara la info del server, lo mejor es que borres esos códigos así 🙂

 

[Cicklow]

Alguien está intentando inyectar código a uno de mis sitios. Me ha aparecido esta línea como búsqueda ingresada 5 veces el día de hoy:
data:,<?php eval($_get[a]); ?>
Pregunta ¿Cómo puedo verificar que mi sitio esté "seguro" de este tipo de inyecciones?
Algún Gurú que me quiera ayudar?

estan testeando si tu sitio guarda el code como PHP o como texto. lo mejor es usar:
strip_tags(); o htmlentities(); para sacar todo code php, JS, html, etc...

 

[Giezzy]

estan testeando si tu sitio guarda el code como PHP o como texto. lo mejor es usar:
strip_tags(); o htmlentities(); para sacar todo code php, JS, html, etc...

Esto debería ser añadido en searchform.php? (Sé muy poco de estas cosas)

 

[Cicklow]

Esto debería ser añadido en searchform.php? (Sé muy poco de estas cosas)

antes de guardarlo en la base de datos. usas WP o ke? si usas WP no te preocupes que no permite inyección por PHP (a menos que no tengas actualizado el plugin de cache, que estaba bugeado y permitia PHP en los comentarios).

 

[Poka]

Si filtras las variables que tienen conexion con la base de datos con mysql_escape_string() creo que no tendrás problemas

 

[Giezzy]

[MENTION=9679]cicklow[/MENTION] en efecto, uso Wordpress.
Gracias por la aclaración, siempre mantengo los plugins actualizados.