Функции Язык программирования PHP

	hw_GetObjectByQueryObj (PHP 3>= 3.0.3, PHP 4) hw_GetObjectByQueryObj - ищет объекты. Описание array hw_getobjectbyqueryobj (int connection, string query, int max_hits) Ищет объекты по всему серверу и возвращает массив из записей объектов. Максимальное количество совпадений ограничено параметром max_hits. Если max_hits имеет значение -1, ограничения нет. Этот запрос будет работать только с индексированными атрибутами. См. также hw_getobjectbyquery().
Назад Оглавление Вперёд hw_GetObjectByQueryCollObj Вверх hw_GetParents

Пример 4-12. Использование обычных переменных отладки <form method="post" action="attacktarget?errors=Y&amp;showerrors=1"&debug=1"> <input type="hidden" name="errors" value="Y"> <input type="hidden" name="showerrors" value="1"> <input type="hidden" name="debug" value="1"> </form>

Независимо от метода обработки ошибок, возможность проверки системы на наличие ошибок приведёт к снабжению хакера дополнительной информацией.

Например, стиль общей PHP-ошибки указывает систему, на которой запущен PHP. Если хакер просмотрит .html-страницу и захочет проверить её (найти известные утечки в системе), заполнив её неправильными данными, он сможет определить, что система построена с PHP.

Ошибка функции может указать, запущена ли на системе конкретная машина БД, или дать ключ к тому, как web-страница сконструирована или запрограммирована. Это позволит глубоко внедриться в открытый порт БД или найти специфический bug или утечку в web-странице.
Вводя разные блоки неверных данных, например, хакер может определить порядок аутентификации в скрипте (по номерам строк с ошибками), а также попробовать использовать то, что может иметься в разных частях скрипта.

Ошибка файловой системы или общая ошибка PHP может указать на то, какие привилегии имеет web-сервер, а также на структуру и организацию файлов на web-сервере. Записанный разработчиком код ошибки может усугубить эту проблему, приведя к лёгкому способу использования ранее "скрытой" информации.