PHP - come creare un exploit in php

sono mesi che sto cercando un semplicissimo codice di un exploit in php ma non ho trovato niente
potreste darmi il codice di un exploit in php e spiegarmi il suo funzionamento
fin ora ho viste exploit in c
ho gia posto questa domanda ma è stata bannata
non ho cattive intenzioni semplicemente vorrei sapere come funziona un exploit php perche siccome sto creando una specie di socialnetwork vorrei difenderlo da questi tipi di attacchi
GRAZIE 1000

Beh se la metti in questi termini le cose cambiano <.< In PHP solitamente gli exploit sono di tipo SQL Injector; cercano di modificare le query attraverso i campi input non controllati usati in una query sql, se cerchi trovi degli esempi per SOLA informazione. Per difendersi da questi attacchi basta passare tutti i dati che arrivano da metodi POST e GET per la funzione mysql_real_escape_string php.net/manual/en/… pensata appunto per difendere il server da questo tipo di exploit.
Altri attacchi da cui conviene sempre difendere i propri script sono gli Cross-site scripting che sfruttano il linguaggio js; in pratica si tratta di inserire in una pagina solitamente con dati prelevati da db uno script javascript malevolo. Per esempio se questo forum non fosse protetto da questo tipo di attacco scrivendo <script>alert("Alert";</script> al caricamento del topic si visualizzerebbe un alert (Ovviamente il codice per attacchi non è un semplice alert ). Per questo tipo di exploit basta convertire i caratteri > < con htmlentities all'inserimento o al prelevamento dei dati da stampare dal db. Questi sono i principali exploit dai cui devi difendere i tuoi script.

E perché vorresti imparare a scriverli?

Quoto nessuno....infatti sia gli injector e gli exploit servono per causare danni ad altri e credo che in mano a persone diciamo che sono tutt'altro che con qualche grammo di sale in zucca, sono del tutto inutilizzabili, e potresti causare addirittura danni alla tua stessa macchina...discorso cambia se servono per difenderti.

In caso sia il primo caso sei "leggermente" fuori dal regolamento

Non hai bisogno di imparare a scriverne uno per evitarli... bastano buone abitudini di programmazione e un attento escaping dell'input utente
Oltre ai classici GET e POST, non scordare eventuali valori memorizzati nei cookie e una buona gestione delle sessioni (che comunque ti sconsiglio di usare)

P.S.
L'attacco si chiama SQL Injection non Injector

grazie a tutti sopratutto a roby94

grazie a tutti sopratutto a roby94

usa strip_tags() su tutti i form intval() se la variabile deve contenere un dato numerico e metti la full path in ogni altro script che includi