Главная страницаСоздание сайтовБлог Кузнецова М.В.Статьи о PHPPHP-скриптыСтатьи об ApacheФорум С++КонсультацииФорум "Про Жизнь"
Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
Социальная инженерия и социальные хакеры. Авторы: Кузнецов М.В., Симдянов И.В. Объектно-ориентированное программирование на PHP. Авторы: Кузнецов М.В., Симдянов И.В. C++. Мастер-класс в задачах и примерах. Авторы: Кузнецов М.В., Симдянов И.В. MySQL на примерах. Авторы: Кузнецов М.В., Симдянов И.В. Самоучитель MySQL 5. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ 		Консультационный центр SoftTime

Форум PHP
Вход  Регистрация  Список форумов  Живой форум  Архив  RSS-канал  Правила форума  Участники "Online"  Все участники

Выбрать другой форум

 

Здравствуйте, Посетитель!

 Новая тема

 Поиск

  Список тем

вид форума:
Линейный форум Структурный форум

тема: Как критична такая дырка

следующая тема
 
 автор: Den-s   (10.11.2009 в 16:19)   письмо автору
  
 

Здравствуйте
Один знакомый заказал сайт, ему сделали, сайт по функциям большой, и делала сайт - студия (не студент) всё работает нормально
НО
остался открытым файл конфиг с данными доступа к базе, то есть набирая в строке адреса путь в браузере мы видим конфиг файла по подключению к базе.
/* Я предложил ему сделать файл пхп и закрыть туда доступ .htaccess */
Скажите, на сколько эта дырка большая, и как её могут использовать в корыстных целях

  Ответить  
 
 автор: neadekvat   (10.11.2009 в 16:24)   письмо автору
  
   для: Den-s   (10.11.2009 в 16:19)
 

Как же должен выглядить конфиг изнутри, чтобы его содержимое показывалось в браузере?

  Ответить  
 
 автор: psychomc   (10.11.2009 в 16:30)   письмо автору
  
   для: Den-s   (10.11.2009 в 16:19)
 

обычный текстовый файл что ли был?

  Ответить  
 
 автор: ols   (10.11.2009 в 16:54)   письмо автору
  
   для: Den-s   (10.11.2009 в 16:19)
 

>Скажите, на сколько эта дырка большая, и как её могут использовать в корыстных целях

Если Вы имеете ввиду данные MySQL - логин, пароль, имя БД, сервер, то тут можно всю БД снести, но в случае если же они на данный web-сервер или сам сайт, под который поднят MySQL- сервер могут залить соответствующий скрипт.
Мне известны случаи, когда злоумышленники регистрировали на этом же хостинге свой аккаунт или брали тестовый период и таким способом уничтожали БД. Но это не на всех хостинг-провайдерах такое возможно.
Вообще если уж действительно додумались файл с данными доступа к БД содержать в txt или html, то пусть передумают и переименуют в php

  Ответить  
 
 автор: Den-s   (11.11.2009 в 11:34)   письмо автору
  
   для: ols   (10.11.2009 в 16:54)
 

>обычный текстовый файл что ли был?
да, только расширение букв 5 наверно...
и даже .htaccess не лежит в папке

>Если Вы имеете ввиду данные MySQL - логин, пароль, имя БД, сервер
Да именно эти данные.

Хмм, ну тогда поменяем
Интересно почему компания которая не первый год работает сделала такую ошибку, не понятно...

  Ответить  
 
 автор: ols   (11.11.2009 в 12:52)   письмо автору
  
   для: Den-s   (11.11.2009 в 11:34)
 

>Интересно почему компания которая не первый год работает сделала такую ошибку, не понятно...
Скрипты, которые подключаются в теле другого скрипта, но никак не по http-запросу следует всегда защищать от просмотра, для этого лучше всего их держать в определенной директории (includes) и в htaccess указывать deny from all

  Ответить  
 
 автор: neadekvat   (11.11.2009 в 12:58)   письмо автору
  
   для: ols   (11.11.2009 в 12:52)
 

Или константы

  Ответить  
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования