Inn-breytu hóparnir (input variables) eru t.d. $_POST, $_GET og $_REQUIRE. Það er mikilvægt að sleppa ekki hverju sem er í gegn þegar tekið er á móti upplýsingum í gegn um þessar breytur. Auðvelt er að yfirsjást mögulegar innspýtingar árásir (injection exploits) þarna í gegn. Af þeim sökum er besta stefnan að samþykkja aðeins rétt formaðar upplýsingar frá inn-breytum og útiloka allt annað undantekningalaust.
Ef taka á t.d. við númeri í gegn um form breytu þarf að síja úr allt annað en númer þegar breytan er svo tekin inn. Þetta verður að gera í PHP og það má alls ekki treysta á javascriptur fyrir slíka síun. Inn-breytur geta verið skilgreindar sem faldar POST breytur (<input type="hidden" name="xyz" value="bla bla bla">) en þær eru oft fylltar út rafrænt af javaskriftum út frá öðrum innslætti notandans. Þessar breytur þarf ekkert síður að síja þar sem tölvurþjótarnir geta auðveldlega útbúið sitt eigið form til innsendingar.
Gott dæmi um misnotkun forma með innspýtingu er að setja php föll inn í breytuna. Þetta reyna hakkararnir miskunarlaust í öllum mögulegum tilbrigðum. Stundum tekst þeim að sækja þannig skriftur annarstaðarfrá og fá vefinn til að keyra þær upp. Þannig skriftur eru oft með alls kyns uppflettingum og möguleika á upphalningu skráa.
|