Меню
Что нового?

Опять про взлом сайта на PHP и сессий

Статус
В этой теме нельзя размещать новые ответы.

Tonn

Новичок
Автор оригинала: ukrhosting
Да проект укрхостиг заведен на реселерском акаунте. При этом мы имеем рутовый доступ ко всем серверам смартфанкшинов. Интересно, какое это отношение имеет к теме топика?
Нажмите для раскрытия...
Сколько работаю, столько и встречаюсь с аналогичными реакциями реселлеров на "у вас дыра".
 

ukrhosting

Guest
Originally posted by Tonn
Сколько работаю, столько и встречаюсь с аналогичными реакциями реселлеров на "у вас дыра".
Нажмите для раскрытия...
Интересно, сосколькими вы встречались, я по долгу службы больше чем с 1000 хостинг провайдеров повсему миру. Опятьже могу _бесплатно_ как на первый раз проверить твой хостинг/сервер на дыры.
 
confguru

confguru

ExAdmin
Команда форума
Да... пошел бесполезный флейм похоже... Заведите новую тему в хостинге..
ukrhosting & Norton
Я так понимаю ваши проблемы решены?
 

Norton

Новичок
Автор оригинала: admin
Да... пошел бесполезный флейм похоже... Заведите новую тему в хостинге..
ukrhosting & Norton
Я так понимаю ваши проблемы решены?
Нажмите для раскрытия...
Ну что, в принципе осталось подвести итоги и закрыть топик.

Значит что я из этого всего понял.

Насчёт сессий.
Хостер неправ. Он обязан для каждого пользователя завести отдельный каталог для сессий.

В противном случае, я думаю стоит вынести в FAQ этот вопрос, (так как имхо большинство думает что по умолчанию хостер позаботился о безопасности данных) то есть обязательно во всех скриптах самостоятельно прописывать значение каталога с сессиями, либо кидать php.ini с этой настройкой в каталог со скриптом.

Насчёт пароля в php скриптах.
Я так ничего и не понял.
Ситуация как у нас. Есть главный скрипт. В него инклудится скрипт с паролями из другой директории, где лежит htaccess
типа:
Order Allow,Deny
Deny from all
Я так понял что это небезопасно и так делать нельзя.
Тогда вопрос. А где хранить пароль к базе в открытом виде (ftp etc )?
 

Yurik

/dev/null
>А где хранить пароль к базе
.htaccess там до фени, как и размещение скрипта с паролем в другой директории - чистой воды лажа.
Если у файла расширение *.php через веб его никто не прочитает. Читают его через:
а) фтп
б) шелл
в) fopen
г) `cat из других скриптов

т.е. там где роль играют только chmod/chown.

Где можно надежно хранить пароль к базе данных - привел выше anight. Или немного модифицированный вариант
chown root httpd.conf
chmod 600 httpd.conf

<VirtualHost *>
ServerName shared1.ru
php_value mysql.default_host localhost
php_value mysql.default_user shared1
php_value mysql.default_password **********
</VirtualHost>

а в своих сриптах будете просто юзать
mysql_connect() без параметров
 
confguru

confguru

ExAdmin
Команда форума
Тема закрыта.

Проблемы личного характера и бессмысленные споры между участниками не являются предметом обсуждения форума.
Обсуждайте их в привате.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху