Форум Сайтостроение Веб-строительство

Пролезли в базу данных

SI
На сайте с 19.12.2007
Offline
77
St.I.An
578

всем бодрый день, попросили посмотреть сайтик-пациент, на котором нехороший мальчик прокрался в БД

оказалось, авторизация на сайте через банальный запрос "SELECT .... WHERE login='{$_POST['login']}' ..." -- понятно, что это практически приглашение "велкам все...", но интересно, стоит ли менять пароль к базе или достаточно поменять условие на ... sha1(login)='.sha1($_POST['login']).' ...

рисуем, верстаем, кодим и крутим ...аа, да, еще принимаем заказы (:
Garin33
На сайте с 31.08.2009
Offline
169
Garin33
#1

Смена пароля никогда лишней не будет.

Потому что Drupal - это круто.
M
На сайте с 11.01.2012
Offline
93
masskill
#2

Сделайте привязку:

юзер - хост - нужные права

Если требуется помощь, обращайтесь помогу за спасибо

skype - masskillprom, icq - 692 705 230 (если не ищет ищем по емейлу masskill2010@gmail.com) e-mail - masskill2010@gmail.com, n.didur@smartweb.com.ua
E
На сайте с 03.12.2010
Offline
140
eBasher
#3

проверяется только логин, пароль не проверяется чтоли ?

E
На сайте с 03.12.2010
Offline
140
eBasher
#4

да кстати...

'{$_POST['login']}'

где обработка пост-массива ? это же дыра на sql инъекцию

V
На сайте с 05.01.2011
Offline
23
veterinar
#5
eBasher:
да кстати...
'{$_POST['login']}'

где обработка пост-массива ? это же дыра на sql инъекцию

ТС вот это это а первую очередь , а не пароли ли к бд

eStatic
На сайте с 27.05.2011
Offline
40
eStatic
#6

и пароли не ленитесь менять, потом поздно будет

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий