RE: lug-bg: Security ...
- Subject: RE: lug-bg: Security ...
- From: "Vesselin Markov" <vm@xxxxxxxxxxxxxxx>
- Date: Tue, 3 May 2005 22:12:27 +0300
За да видиш environment променливи не е необходимо phpinfo(). echo/= върши
същото, имайки в предвид споделен хостинг. А ако някой има акъл да сложи
парола в такава променлива (за да си помисли друг, че е намерил бъг...) си
търси майстора.
-----Original Message-----
From: owner-lug-bg@xxxxxxxxxxxxxxxxxx
[mailto:owner-lug-bg@xxxxxxxxxxxxxxxxxx] On Behalf Of Vasil Kolev
Sent: Tuesday, May 03, 2005 9:16 PM
To: lug-bg@xxxxxxxxxxxxxxxxxx
Subject: Re: lug-bg: Security ...
В вт, 2005-05-03 в 18:33 +0300, Andrei Boyanov написа:
> Здравейте,
>
> Пак съм се замислил над един въпрос и реших да ви питам какво мислите.
>
> Опасно ли е за сигурността на системата ако да речем функцията phpinfo()
> е достъпна отвън? Т.е. ако независимо кой може да получи доста подробна
> информация за конфигурацията на вашата система?
Истинска ситуация (и причината Жоро Чорбаджийски да я забранява, беше
обяснено на лекцията му на webtech 2005) - ако предавате потребителско
име и парола за mysql или нещо такова през environment променливи, могат
да ви ги видят през phpinfo(). Ситуацията си е странна (и аз не съм
убеден, че е особено добра идея), но си е реална :)
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|