Комментарии (22) RSS

• mindfreakthemon 16 лет ago # 0

  Вы предлагаете передавать пароль через GET\POST-параметры или хранить в переменной, к которой можно только в определённой области видимости обращаться?

  Ответить

  • stereojazz 16 лет ago # 0 ⇈

    да хотя бы в конфигурационном файле.

    Ответить

    • mindfreakthemon 16 лет ago # 0 ⇈

      Если вы про парсинг .ini-файла, то это православнее, согласен.
      Но, как по мне, хранить пароль от базы в константах — не есть говнокод, это даже не плохо.
      
      Вот если в константу записывали бы base64-ый пароль, а при применении бы раскодировали каждый раз — вот это другое дело. Вы так не считаете?

      Ответить

      • guest 16 лет ago # 0 ⇈

        Да-да, православнее. Для обычного хостинга http://some-host.test/conf.ini отдаст пароль в чистом виде.

        Ответить

        • mindfreakthemon 16 лет ago # 0 ⇈

          Для обычного хостинга сервер отдаст http://some-host.test/file.php на скачку. Понятное дело, что о безопасности нужно думать в первую очередь.
          
          Когда я говорил “православее”, то имел в виду, что в действительности система скриптов разделена на рабочие области, и их конфигурации выносятся отдельно в файл настроек. (Как, например, у многих десктопных программ)

          Ответить

          • guest 16 лет ago # 0 ⇈

            Если обычный-хостинг отдает php на скачку, то это не хостинг, а narod.ru.

            Ответить

        • guest 16 лет ago # 0 ⇈

          Вынести conf.ini за корень сайта не?

          Ответить

          • guest 16 лет ago # 0 ⇈

            Далеко не все позволяют это делать.

            Ответить

        • guest 16 лет ago # 0 ⇈

          http://some-site/conf.ini.php:
          

          ; <?php __halt_compiler(); А дальше идёт обычный ini-файл, который легко и непринуждённо парсится parse_ini_file()
          [sec1]
          hello=1
          world=2
          [sec2]
          foo=3
          bar=4

          Ответить

          • guest 16 лет ago # 0 ⇈

            Если все равно писать тэги, то нахрена ини-файл-то ? Что запрещает $hello = 1; написать ? Или, чтоб уж совсем православно и тру-оопешно, $config->set('hello', 1); ?

            Ответить

            • guest 16 лет ago # 0 ⇈

              Или, чтоб уж совсем просто, define('CONFIG_TEST', 1);

              Ответить

            • guest 16 лет ago # 0 ⇈

              > нахрена ини-файл-то ?
              parse_ini_file() быстрее include. Можешь проверить.
              > чтоб уж совсем православно и тру-оопешно, $config->set('hello', 1);
              Хороший пример того, когда гонка за труЪ-ООПешностью приводит к формированию говнокода. ТруЪ-ООПе - хорошая и нужная вещь, но перегибать не надо. Вызов метода медленнее присвоения значения элементу массива.

              Ответить

      • guest 16 лет ago # 0 ⇈

        Немного не уловил суть. В чём будет безопаснее? Любое обратимое преобразование по определению ненадёжно. У меня есть стыренные сорцы одного говносайта, который делала местная контора говнокодеров. Толи они в свою очередь украли у кого-то, толи сами придумали, но они хранят для входа в партнёрку оптовой базы не хеш/соль, а - правильно - base64 представление строки пароля. Сильно.
        Надо будет повыдирать вкусностей и перепостить.

        Ответить

        • mindfreakthemon 16 лет ago # 0 ⇈

          Ни в чём. И потому такому коду было бы самое место тут.

          Ответить

    • guest 16 лет ago # 0 ⇈

      Ну лежит оно посреди кода, конфигурационный файл тоже будет подключаться где то посреди кода. И в чем разница?

      Ответить

    • WGH 16 лет ago # 0 ⇈

      Если конфигурационный файл - это файл синтаксиса типа .ini, то чем конкретно он лучше .php? Если нет, тогда вы что вообще имели в виду?

      Ответить

• mrbig66 16 лет ago # 0

  Приведу несколько запросов, с помощью которых хакер без труда добывает нужную информацию. Естественно, что только Google помогает ему в этом нелегком деле.
  
  Index.of master.passwd – поиск паролей во FreeBSD
  Index.of /admin – почувствуй себя админом!
  Index.of ws_ftp.ini – а теперь найдем конфиг для WS_FTPD
  Index.of "amount.xls" – или важную банковскую базу
  filetype:sql inurl:users – кстати, о базах...
  intitle:Usage Statistics for Generated by Webalizer – смотрим статистику
  intitle:Index of dbconvert.exe chats – а также логи ICQ-чата
  site:jp filetype:pl inurl:txt – это мы уже проходили. Special for Japan 🙂
  filetype:php inurl:file – поиск инклуд-файлов к PHP
  inurl:main.php Welcome to phpMyAdmin – дырявый phpMyAdmin
  
  хакер.ру

  Ответить

  • Dreyk 16 лет ago # 0 ⇈

    Если пароль лежит в инклюд-файле, который находится выше рута, или к нему запрещен доступ htdocs'ом, то никак ты его оттуда не достанешь

    Ответить

    • mrbig66 16 лет ago # 0 ⇈

      Не все до этого догадываются.

      Ответить

  • guest 16 лет ago # 0 ⇈

    Это пиздец.
    Хакер жжот напалмом.
    
    Этому способу поиска уже 7 лет как.

    Ответить

    • mrbig66 16 лет ago # 0 ⇈

      И до сих пор можно еще кое-что найти.

      Ответить

• danilissimus 16 лет ago # 0

  хм...
  в стиле MYSQL_PASS пишу я.
  откуда ты взял мой код?
  
  хотя я всетаки выношу такое в конфиг-файл

  Ответить