PHP security underground
–[ variabel global ] Di PHP kamu tidak usah mendeklarasikan terlebih dahulu variabel yang hendak kamu pakai, itu bisa jadi kemudahan tapi bisa menyebabkan sistem menjadi ga aman. mari kita tengok contoh script di bawah ini: […] if ($is_admin == 1) { […] } else { […] } kita dapat liat bahwa $is_admin tidak dideklarasikan, maka kita bisa menyusupkan suatu nilai untuk mengisi variabel tersebut. Contoh: http://remote_host/bugged.php?is_admin=1 —[ Penanganan ]— Cara penanganannya adalah tinggal mendeklarasikan terlebih dahulu variabel tersebut sebelum if. $is_admin = 0; […] if ($is_admin == 1) { […] } else { […] } —————————————————————————–[/] —[ File Inclusion ] —–[ Local File Inclusion] Contoh : include “/users/”.$include_path.”.php”; […] ?> Variabel $include_path tidak dideklarasikan sebelumnya sehingga kita bisa menyusupkan suatu nilai lagi seperti /etc/passwd.. http://remote_host/bugged.php?include_path=../../../../etc/passwd Hasil dari file inclusion