LOCAL/REMOTE FILE INCLUSION: La inclusión de ficheros (locales o remotos) en una página web, es consecuencia de un fallo de programación en el código PHP de la web, debido a un mal filtrado de las variables usadas al usar las funciones propias de PHP que permiten visualizar un fichero de la web (como una sección de la página), o bien en las funciones propias de manejo de ficheros.
CODE INJECTION: Código de inyección es la explotación de un bug que es provocada por el tratamiento de datos no válidos. La inyección de código puede ser usado por un atacante para introducir (o "inyectar") el código en un programa de ordenador para cambiar el curso de la ejecución. Los resultados de un ataque de inyección de código pueden ser desastrosos. Por ejemplo, la inyección de código se utiliza por algunos para propagar gusanos de ordenador.
SQL INJECTION: Inyección de SQL es una técnica de inyección de código que explota una vulnerabilidad de seguridad que ocurren en la base de datos de una capa de aplicación. La vulnerabilidad está presente cuando el usuario de entrada es incorrecto filtrado de caracteres de escape de cadenas literales en SQL embebido o entrada del usuario no es fuertemente tipiado inesperadamente y, por tanto, ejecutado. Es una instancia de una clase más general de vulnerabilidades que puede ocurrir cuando un lenguaje de scripting o la programación se inserta dentro de otro. Ataques de inyección de SQL son también conocidos como ataques de inserción de SQL.
CROSS-SITE SCRIPTING (XSS): Es un tipo de vulnerabilidad de la seguridad se encuentran típicamente en las aplicaciones web que permiten la inyección de código malicioso de usuarios de Internet en las páginas web vistas por otros usuarios. Ejemplos de este tipo de código de incluir secuencias de comandos del lado cliente. Un explotado de cross-site scripting vulnerabilidad puede ser utilizada por atacantes para eludir los controles de acceso, como la misma política de origen. Las vulnerabilidades de este tipo se han explotado a las embarcaciones de gran alcance y los ataques de phishing navegador explota. Cross-site scripting llevó a cabo en los sitios web fueron aproximadamente el 80% de todas las vulnerabilidades de seguridad documentadas en 2007. A menudo, durante un ataque "todo parece bien" para el usuario final que pueden ser objeto de acceso no autorizado, el robo de datos sensibles, y pérdidas financieras.
BLIND SQL INJECTION: Cuando un atacante ejecutar ataques de inyección de SQL a veces el servidor responde con mensajes de error del servidor de bases de datos, quejándose de que la sintaxis de consultas SQL es incorrecta. Ciegos de inyección de SQL es idéntica a la normalidad, excepto que la inyección de SQL, cuando un atacante trata de explotar una solicitud en lugar de obtener un buen mensaje de error genérico que reciben una página especificada por el desarrollador de su lugar. Esto hace que la explotación de un posible ataque de inyección de SQL más difícil pero no imposible. Un atacante puede robar datos todavía por hacer una serie de preguntas: verdadero y falso a través de sentencias SQL.
