|
| |
|
|
| |
для: Unkind
(17.10.2007 в 16:31)
| | | >Пароль всё равно будет в чистом виде передаваться функции mysql_connect(), какие бы козни Вы не строили. А это значит, что украсть пароль можно будет всегда при таких возможностях.
Как? Перехватить пароль?
Разве это возможно?
А отредактировать сонфиг так чтобы он открытым текстом напечатался - не получится.
Это можно ограничить.
Останется реальная возможность написать свой скрипт, который извлекает часть данных из
окружения, часть берёт из конфига, потом это всё аккуратно скрещивает и получает верный результат - да так возможно, но не с первой попытки.
Это как игра в шахматы.
Ни один програмист не пишет без ошибок.
На этом-то и поймается.
Понять даже простой криптографический скрипт без комментариев - это совсем не просто.
Жаль, что база не умеет фиксировать обращение к ней с неверным паролем!
Или может?
Наверно где-то в логах надо вылавливать.
Подскажете где? | |
| |
|
|
| |
|
|
| |
для: Eugene77
(17.10.2007 в 14:48)
| | | Да как же Вы не поймете :) Это всё бесполезно. Пароль всё равно будет в чистом виде передаваться функции mysql_connect(), какие бы козни Вы не строили. А это значит, что украсть пароль можно будет всегда при таких возможностях. | |
| |
|
|
| |
|
|
| |
для: mihdan
(17.10.2007 в 10:46)
| | | >get_included_files()
Ура! Вот это ответ профессионала!
Я так и думал, что PHP продуманный язык и в нём есть всё необходимое для
организации замкнутой системы контроля целостности скриптов.
Только не мог понять с какой стороны они подошли.
Вот это не могу перевести:
Something that's not noted in the docs, if a file is included remotely and you do a get_included_files() in the include itself it will *not* return the document that included it.
Это удалённые файлы не будут включены или
цепочки включающих файлов не отслеживаются? | |
| |
|
|
|
| |
|
|
| |
для: Unkind
(16.10.2007 в 14:33)
| | | Та да,вы правы,вот что значит-долго не спать... Утром как прочел написанное мной... (confused) | |
| |
|
|
| |
|
|
| |
для: Eugene77
(13.10.2007 в 19:18)
| | |
array get_included_files ( void )
|
вам поможет | |
| |
|
|
| |
|
|
| |
для: sim5
(16.10.2007 в 18:07)
| | | >Ну только если применить авиационный прием. На самолетах ставят два типа ответчика - для ICAO, и свой/чужой для "своих". Установить ответчики в "своих" файлах, и если не поступит инклужиемому файлу ответ "я свой" от иклужиемого файла, сбивать их к чертовой матери. :)
То есть опять всё сводится к предопределению неких констант.
Этот способ я знаю.
И, пожалуй, если ничего другого не придумать, придётся признать что Unkind прав.
Предопределённую константу трудно не заметить.
Это только от других типов уязвимости может быть эффективно, когда
нельзя прочитать сами файлы.
Спасибо всем за участие! | |
| |
|
|
| |
|
|
| |
для: Eugene77
(16.10.2007 в 17:30)
| | | Ну только если применить авиационный прием. На самолетах ставят два типа ответчика - для ICAO, и свой/чужой для "своих". Установить ответчики в "своих" файлах, и если не поступит инклужиемому файлу ответ "я свой" от иклужиемого файла, сбивать их к чертовой матери. :) | |
| |
|
|
| |
|
|
| |
для: Eugene77
(16.10.2007 в 17:30)
| | | Ню-ню...
Собственно, узнать это и при этом нельзя было бы фальсифицировать информацию нельзя. | |
| |
|
|
| |
|
|
| |
для: Ralph
(15.10.2007 в 19:43)
| | | Я и не стремлюсь сделать очень надёжную защиту, я ведь не для банка скрипт пишу.
Но расчитываю поставить хоть что-то на случай, если по рассеянности ftp пароль кому-то
подарю. Я человек рассеяный, так что это вполне вероятно.
Собственно мои "криптографические функции" достаточно просты, но сомнительно,
чтобы кто-либо сразу и безошибочно их обошёл. Гарантирую, что будет одна, а скорее всего
пяток ошибочек в начале.
Сработает соответствующая функция - я узнаю, что кто-то у меня ковыряется,
поменяю пароль - и всё.
Можно я повторю вопрос?
Как узнать кто инклудит конфиг? | |
| |
|
|
|
