Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
PHP на примерах (2 издание). Авторы: Кузнецов М.В., Симдянов И.В. Социальная инженерия и социальные хакеры. Авторы: Кузнецов М.В., Симдянов И.В. Объектно-ориентированное программирование на PHP. Авторы: Кузнецов М.В., Симдянов И.В. Самоучитель PHP 5 / 6 (3 издание). Авторы: Кузнецов М.В., Симдянов И.В. MySQL 5. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

Разное

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум Структурный форум

тема: Безопасность LiteForum
 
 автор: Незнайка   (18.04.2008 в 18:16)   письмо автору
 
 

Хочу спросить.

В LiteForum папка config доступна для просмотра.
Безопасно ли это?

   
 
 автор: Atheist   (18.04.2008 в 18:18)   письмо автору
 
   для: Незнайка   (18.04.2008 в 18:16)
 

Да. Там нет ничего интересного, что может быть доступно при корректной настройке сервера. И ничем нельзя воспользоваться. Собственно, это можно было в отдельный каталог не выводить вообще. Так, выпендрежа ради

   
 
 автор: DEM   (18.04.2008 в 18:25)   письмо автору
 
   для: Atheist   (18.04.2008 в 18:18)
 

То есть, по вашему, все файлы можно скинуть в одну папку? Но форум состоит из енсокльких десятков файлов, удобно ли тогда будет в них разбираться?

   
 
 автор: Atheist   (18.04.2008 в 18:29)   письмо автору
 
   для: DEM   (18.04.2008 в 18:25)
 

DEM
> То есть, по вашему, все файлы можно скинуть в одну папку?
Безусловно можно.

> Но форум состоит из енсокльких десятков файлов, удобно ли тогда будет в них разбираться?
Удобно и можно - вещи друг с другом не связанные.

Незнайка
> Да, ладно?
Уж не ради безопасности - это точно. Возможно, потому, что config.php при установке должен быть изменен и удобнее выделить для этого отдельную папку. Но тогда непонятно кому нужны там class.config.dmn.php, class.config.forum.php, class.config.php.

   
 
 автор: Незнайка   (18.04.2008 в 18:25)   письмо автору
 
   для: Atheist   (18.04.2008 в 18:18)
 

>> Так, выпендрежа ради
Да, ладно, не уж то ?...

   
 
 автор: Незнайка   (18.04.2008 в 18:35)   письмо автору
 
   для: Atheist   (18.04.2008 в 18:18)
 

Хочу Вас спросить. Где по Вашему мнению в LiteForum 5 "тонкое место" и есть ли оно вообще?

P.S Вопрос не "требующий" мгновенного ответа.

   
 
 автор: Atheist   (18.04.2008 в 18:42)   письмо автору
 
   для: Незнайка   (18.04.2008 в 18:35)
 

> Где по Вашему мнению в LiteForum 5 "тонкое место" и есть ли оно вообще?
Таких мест немало. Я тут недавно часть приводил: http://softtime.ru/forum/read.php?id_forum=2&id_theme=51250
Но судя по всему, это раздражает и некоторых посетителей. Поэтому это неблагодарный труд.

[поправлено модератором]

   
 
 автор: Ralph   (18.04.2008 в 19:09)   письмо автору
 
   для: Atheist   (18.04.2008 в 18:42)
 

Смотря что подразумевать под словом "неблагодарный" и "благодарный"...Судя по всему,вы просто ожидали бурных оваций и людей,падающих на колени с возгласами : 'спасибо,царь-батюшка,спаситель вы наш...",раз ответ "спасибо,будем исправлять" так вами воспринимается :-)

   
 
 автор: Atheist   (18.04.2008 в 19:21)   письмо автору
 
   для: Ralph   (18.04.2008 в 19:09)
 

> Смотря что подразумевать под словом "неблагодарный" и "благодарный"
Нет, я ожидал, что в дальнейшем мне не будут хамить, когда я упоминаю про ошибки. В одной теме (там всё давно потерли) некий кретин (ник такой) без всяких доказательств пытался внушить мне, что найденные мной ошибки в одной из книг - ложь. Я привел примеры ошибок и все посты потерли. Но дискуссия была в теме про выход новой книги, исправленной и дополненной. В этом и могла быть причина.

   
 
 автор: Ralph   (18.04.2008 в 19:29)   письмо автору
 
   для: Atheist   (18.04.2008 в 19:21)
 

МОГЛА БЫТЬ...а могла быть ,к примеру,в наличии флейма,нецензурных постов и т.д.,точно не установишь,так как по вашим постам,все уже потерли...Посему,слова "...и возможно,сама администрация..." пока явно лишние

   
 
 автор: Atheist   (18.04.2008 в 19:33)   письмо автору
 
   для: Ralph   (18.04.2008 в 19:29)
 

Ну ей же так трудно было ответить после той дискуссии на вопрос, который я задал в теме, ссылку на которую привел.

   
 
 автор: Незнайка   (18.04.2008 в 19:40)   письмо автору
 
   для: Atheist   (18.04.2008 в 19:21)
 

"В спорах рождается истина"

И Все же, ребята давайте по теме.
Например: Есть "дыра" там-та, там-та
Варианты устранения такие...

А кто больше разбирается, меньше разбирается, разве в этом дело?
Все таки Мы же тут не "ругаться" собрались...

P.S-2. В других форумах может быть еще больше проблем с безопасностью, кто знает? Так ведь...
P.S.-3 В новой версии liteforum "дыр" я так понимаю меньше стало, чем в предыдущей. Не так ли?

   
 
 автор: Atheist   (18.04.2008 в 19:43)   письмо автору
 
   для: Незнайка   (18.04.2008 в 19:40)
 

> И Все же, ребята давайте по теме.
Тема твоя. Ты и задал вопрос "Где по Вашему мнению в LiteForum 5 "тонкое место" и есть ли оно вообще?". Разве нет? Я на него и отвечал. Разве нет?

   
 
 автор: Незнайка   (18.04.2008 в 20:24)   письмо автору
 
   для: Atheist   (18.04.2008 в 19:43)
 

> Тема твоя. Ты и задал вопрос "Где по Вашему мнению в LiteForum 5 "тонкое место" и есть ли оно вообще?". Разве нет? Я на него и отвечал. Разве нет?

Ну, да.
Только хотелось бы на примерах посмотреть. Это возможно?
А то я смотрю начали за здравие, а закончим не понятно чем...

Покажите конкретно. Где ошибки ? Возможно ли исправить?
Если знаете. (Это же прекрасно если Вы разбираетесь. Песню слышали? "Поделись улыбкою своей и она к тебе не раз еще вернется...")
Думаю администрация прислушается.
А пользователи будут только рады.


P.S. Столько сообщений, а конкретно по теме: "безопасность LiteForum", в примерах не вижу. Хоть убей.

   
 
 автор: Незнайка   (18.04.2008 в 19:12)   письмо автору
 
   для: Atheist   (18.04.2008 в 18:42)
 

Я читал: http://softtime.ru/forum/read.php?id_forum=2&id_theme=51250

Так там написано, что "дыры" устранили.
Или Вы так не считаете?

P.S. Ошибки допускают все. Вы же тоже ошибаетесь в чем-то?...

   
 
 автор: Atheist   (18.04.2008 в 19:25)   письмо автору
 
   для: Незнайка   (18.04.2008 в 19:12)
 

> Так там написано, что "дыры" устранили.
Во-первых: "cheops (29.03.2008 в 16:56) Спасибо, будем исправлять."
XSS там настолько много, что закрыть за раз они не смогли.
А, во-вторых, та версия, которая лежит в Downloads в полной мере не является исправленной.

> Ошибки допускают все. Вы же тоже ошибаетесь в чем-то?...
Не понял. Ты сам хотел посмотреть на "тонкие" места. Что за вопросы?

Да, ошибки допускают все. Но разве это повод оправдывать администрацию, которая выпускает книги про защиту, про веб-программирование? Это сейчас еще скрипт выглядить более менее адекватным в плане безопасности. А что было раньше? Страх. И в чем я не прав?

   
 
 автор: Ralph   (18.04.2008 в 19:38)   письмо автору
 
   для: Atheist   (18.04.2008 в 19:25)
 

Так там написано, что "дыры" устранили.
Во-первых: "cheops (29.03.2008 в 16:56) Спасибо, будем исправлять."
У всех людей могут быть проблемы:бизнес,больной ребенок и т.д. Не всегда есть возможность молниеносно реагировать на замечания.

Да, ошибки допускают все. Но разве это повод оправдывать администрацию, которая выпускает книги про защиту, про веб-программирование?
Да,повод,в противном случае,если бы они были безгрешными и идеальными в этом вопросе,они не отвечали бы на этом форуме,а ...

   
 
 автор: Atheist   (18.04.2008 в 19:44)   письмо автору
 
   для: Ralph   (18.04.2008 в 19:38)
 

> У всех людей могут быть проблемы:бизнес,больной ребенок и т.д. Не всегда есть возможность молниеносно реагировать на замечания.
Полностью согласен.

> Да,повод,в противном случае,если бы они были безгрешными и идеальными в этом вопросе,они не отвечали бы на этом форуме,а ...

Что "а ..."?

   
 
 автор: Ralph   (18.04.2008 в 19:48)   письмо автору
 
   для: Atheist   (18.04.2008 в 19:44)
 

Это значит-не хватило размера буффера ввода :-) а продолжение-"...а были бы начальниками отдела ПО с замом в лице Билла :-)

   
 
 автор: Atheist   (18.04.2008 в 19:51)   письмо автору
 
   для: Ralph   (18.04.2008 в 19:48)
 

Ты действительно не видишь разницы между "ошибиться" и писать код, содержащий море ошибок, неточностей и уязвимостей? При чем не от невнимательности, а по незнанию.

   
 
 автор: Ralph   (18.04.2008 в 19:57)   письмо автору
 
   для: Atheist   (18.04.2008 в 19:51)
 

Вдумайтесь лучше в Вашу фразу : "не видишь разницы между "ошибиться" и писать код, содержащий море ошибок, ".Да,я не вижу разницы между "ошибиться" и "сделать ошибку"...

"При чем не от невнимательности, а по незнанию." -факты ???

   
 
 автор: Atheist   (18.04.2008 в 20:06)   письмо автору
 
   для: Ralph   (18.04.2008 в 19:57)
 

> Вдумайтесь лучше в Вашу фразу
Перед тем, как написать я всегда обдумываю свою фразу.

> Да,я не вижу разницы между "ошибиться" и "сделать ошибку"
Тогда я поясню: не "сделать ошибку", а "постоянно ошибаться".

> факты ???
Я устал их приводить. Тему и так скоро потрут, поэтму тратить на их поиски часы я не собираюсь. Открой "Практика создания web-сайтов" и полистай. Там SQL-инъекции, XSS и логические ошибки. Вкупе к неправильной обработкой данных.

   
 
 автор: Ralph   (18.04.2008 в 20:22)   письмо автору
 
   для: Atheist   (18.04.2008 в 20:06)
 

Перед тем, как написать я всегда обдумываю свою фразу.
> Тогда ваш ник должен быть не Атеист,а Бог,раз вы никогда не ошибаетесь в ваших фразах :-)

не "сделать ошибку", а "постоянно ошибаться".

>Факт постоянных ошибок отнюдь не следствие незнания

> факты ???
Я устал их приводить.

>Ни одного так и не увидел

тратить на их поиски часы я не собираюсь

>Раз ошибки настолько очевидны,не нужны часы для их поиска

Там SQL-инъекции, XSS и логические ошибки.Вкупе к неправильной обработкой данных.

   
 
 автор: Ralph   (18.04.2008 в 20:31)   письмо автору
 
   для: Ralph   (18.04.2008 в 20:22)
 

Там SQL-инъекции, XSS и логические ошибки.Вкупе к неправильной обработкой данных.

> и опять же не вижу здесь факт незнания,а не другого...Я к примеру столяр и тоже часто допускаю ошибки.И не 100 % здесь незнание.Кто-то отвлек,усталость,заторможенность из за монотонной работы,дрогнула рука,просто забыл...

   
 
 автор: Atheist   (18.04.2008 в 20:40)   письмо автору
 
   для: Ralph   (18.04.2008 в 20:31)
 

Почему авторы советуют "защищаться" от SQL-инъекции путем замены апострофов на обратные косые черты (`)? Почему нигде не обращают внимания на целочисленные переменные? Почему не обращают внимания на необъявленные переменные? Думают, что это пустяки и Notice можно подавлять? А потом выясняется, что для правильной обработки данных существует эскейпирование, целочисленные надо приводить к integer (иначе возможна та же SQL-инъекция), а забывая об объявлении переменных, рискуешь нарваться на XSS при register globals = on.

Получается, что по невнимательности они советуют подобное, да? Да неважно вообще по какой причине они допускают эти ошибки! Их море! Люди платят деньги, а получают? И опять ярая защита ошибок со стороны пользователей. Тфу.

   
 
 автор: Ralph   (18.04.2008 в 21:02)   письмо автору
 
   для: Atheist   (18.04.2008 в 20:40)
 

Насчет форума-продукт бесплатно распространяемый и бесплатный,насчет книги-вынужден с Вами согласиться-люди платят деньги,здесь цена небрежности намного выше.

И опять ярая защита ошибок со стороны пользователей.

>не защита ошибок,а защита ФАКТА НАЛИЧИЯ ошибок,это разные вещи...Ладно,спасибо за интересную дискуссию,до встречи,мне пора встречать любимую жену :-)

   
 
 автор: Незнайка   (18.04.2008 в 21:03)   письмо автору
 
   для: Atheist   (18.04.2008 в 20:40)
 

>> И опять ярая защита ошибок со стороны пользователей. Тфу.
Да, не кипятитесь Вы.

Вы пишите побольше об ошибках и их будет меньше.
А вдруг Вы в чем-то ошибаетесь? Это нужно обсудить.

   
 
 автор: Valick   (18.04.2008 в 20:00)   письмо автору
 
   для: Atheist   (18.04.2008 в 19:44)
 

Да полно вам, издаля видно что вы добрый человек, просто тщательно это скрываете.
Подтирают темы не потому что лично вы как банный лист на причинном месте создателей форума, а потому что ошибки которые вы нашли исправят далеко не все юзеры которые уже успели скачать скрипты, и для того чтобы янг-хакеры не смогли воспользоваться результатами вашей работы нахаляву.

И вообще если мои подозрения по поводу вашей персоны небезосновательны, то получается зря распинался))

   
 
 автор: Незнайка   (20.04.2008 в 18:47)   письмо автору
 
   для: Atheist   (18.04.2008 в 18:18)
 

>> Да. Там нет ничего интересного

А это не опасно?


<?php
  
////////////////////////////////////////////////////////////
  // 2006-2007 (C) IT-студия SoftTime (http://www.softtime.ru)
  ////////////////////////////////////////////////////////////
  // Если константа DEBUG определена, работает отладочный
  // вариант, в частности выводится подробные сообщения об
  // исключительных ситуациях, связанных с MySQL и ООП
  
define("DEBUG"1);
  
// сейчас выставлен сервер локальной машины
  
$dblocation "localhost";
  
// Имя базы данных, на хостинге или локальной машине
  
$dbname "forum";
  
// Имя пользователя базы данных
  
$dbuser "root";
  
// и его пароль
  
$dbpasswd "";

  
// Аккаунты
  
$tbl_accounts         'system_accounts';
  
// Новости
  
$tbl_news             'system_news';
  
// Ответы и вопросы
  
$tbl_faq              'system_faq';
  
// CMS
  
$tbl_catalog          'system_menu_catalog';
  
$tbl_position         'system_menu_position';
  
$tbl_paragraph        'system_menu_paragraph';
  
$tbl_paragraph_image  'system_menu_paragraph_image';
  
// Каталог
  
$tbl_cat_catalog      'system_catalog';
  
$tbl_cat_position     'system_position';
  
// Блок контакты
  
$tbl_contactaddress   'system_contactaddress';
  
// Блок голосования
  
$tbl_poll             'system_poll';
  
$tbl_poll_answer      'system_poll_answer';
  
$tbl_poll_session     'system_poll_session';
  
// Гостевая книга
  
$tbl_guestbook        'system_guestbook';
  
// Пользователи сайта
  
$tbl_users            'system_users';
  
// Фотогалерея
  
$tbl_photo_catalog    'system_photo_catalog';
  
$tbl_photo_position   'system_photo_position';
  
$tbl_photo_settings   'system_photo_settings';

  
// Устанавливаем соединение с базой данных
  
$dbcnx mysql_connect($dblocation,$dbuser,$dbpasswd);
  if(!
$dbcnx)
    exit(
"<P>В настоящий момент сервер базы данных не 
          доступен, поэтому корректное отображение 
          страницы невозможно.</P>" 
);
  
// Выбираем базу данных
  
if(! @mysql_select_db($dbname,$dbcnx))
    exit(
"<P>В настоящий момент база данных не доступна, 
          поэтому корректное отображение страницы 
          невозможно.</P>" 
);

  @
mysql_query("SET NAMES 'cp1251'");

  if(!
function_exists('get_magic_quotes_gpc'))
  {
    function 
get_magic_quotes_gpc()
    {
      return 
false;
    }
  }
?>

   
 
 автор: cheops   (20.04.2008 в 19:47)   письмо автору
 
   для: Незнайка   (20.04.2008 в 18:47)
 

При стабильной работе сервера - нет, не опасно.

   
 
 автор: Незнайка   (20.04.2008 в 20:07)   письмо автору
 
   для: cheops   (20.04.2008 в 19:47)
 

А это $dbpasswd = ""?

А может его (config.php) все таки спрятать?
Или это не обязательно?

   
 
 автор: Незнайка   (20.04.2008 в 20:42)   письмо автору
 
   для: cheops   (20.04.2008 в 19:47)
 

А вот еще хочу спросить.

forum/read.php?id_forum=2&id_theme=52415&page=1
URL такого вида подсказывает названия таблиц в базе данных.
Может ли хакер этим воспользоваться?

я тут в одном месте http://forum.dklab.ru/viewtopic.php?p=154223&highlight=#154223 видел, но не знаю, есть ли, что-то общее.
Или там совершенно другая история?

P.S. А то "потрут" у меня форум. Или можно не беспокоиться?

   
 
 автор: Atheist   (20.04.2008 в 21:51)   письмо автору
 
   для: Незнайка   (20.04.2008 в 20:42)
 

> URL такого вида подсказывает названия таблиц в базе данных.
Во-первых, при чем тут таблицы? Поля, хотел сказать? Это тоже неверно. Кто как хочет, так и называет поля и переменные в запросе.

> Может ли хакер этим воспользоваться?
Если найдет SQL-injection. Но и то в большинстве случаев неплохо еще знать название таблицы.

Но конкретно данный проект в OpenSource. Просто скачиваешь и смотришь и названия, и код.

> Или там совершенно другая история?
Нет, там история с душевнобольными.

   
 
 автор: Незнайка   (21.04.2008 в 09:20)   письмо автору
 
   для: Atheist   (20.04.2008 в 21:51)
 

Спасибо за разъяснения.
-------------------------------------


>> Нет, там история с душевнобольными.

Не совсем понятно : )


>> Но конкретно данный проект в OpenSource. Просто скачиваешь и смотришь и названия, и код.
А от этого защититься нельзя?

   
 
 автор: Atheist   (21.04.2008 в 11:33)   письмо автору
 
   для: Незнайка   (21.04.2008 в 09:20)
 

> а от этого защититься нельзя?
Ты сначала найди определения неизвестных тебе слов/выражений. В данном случае OpenSource. И ты поймешь, что задал очень глупый вопрос.

   
 
 автор: Незнайка   (21.04.2008 в 13:43)   письмо автору
 
   для: Atheist   (21.04.2008 в 11:33)
 

>> Ты сначала найди определения неизвестных тебе слов/выражений.
Хорошо поищу.

   
 
 автор: Незнайка   (21.04.2008 в 15:35)   письмо автору
 
   для: cheops   (20.04.2008 в 19:47)
 

>> При стабильной работе сервера - нет, не опасно.

А при не стабильной работе сервера, опасно?

   
 
 автор: cheops   (21.04.2008 в 15:43)   письмо автору
 
   для: Незнайка   (21.04.2008 в 15:35)
 

Нестабильная работа сервера сама по себе опасна, не зависимо от того, что за приложения используются. Представьте приходите вы на какой-то форум, а результата интерпретации кода вам выдаются исходные коды, вместе со всеми паролями - да, это очень опасно.

   
 
 автор: Незнайка   (21.04.2008 в 15:45)   письмо автору
 
   для: cheops   (21.04.2008 в 15:43)
 

Понятно, Спасибо

   
 
 автор: Atheist   (20.04.2008 в 19:59)   письмо автору
 
   для: Незнайка   (20.04.2008 в 18:47)
 

> А это не опасно?
Я про это и говорил. Что тут нет ничего интересного.

   
 
 автор: Незнайка   (20.04.2008 в 20:08)   письмо автору
 
   для: Atheist   (20.04.2008 в 19:59)
 

Можно ведь подглядеть $dbpasswd = ""
Или толку мало?

   
 
 автор: Atheist   (20.04.2008 в 20:12)   письмо автору
 
   для: Незнайка   (20.04.2008 в 20:08)
 

> Можно ведь подглядеть $dbpasswd = ""
Ну-ну. Поглядеть код? Глупости морозишь.

   
 
 автор: Незнайка   (20.04.2008 в 20:16)   письмо автору
 
   для: Atheist   (20.04.2008 в 20:12)
 

Я конечно не специалист.
Ну а если я пароль на локальной машине вижу значит и в инете можно глянуть.
Правильно?

   
 
 автор: Atheist   (20.04.2008 в 20:18)   письмо автору
 
   для: Незнайка   (20.04.2008 в 20:16)
 

> Правильно?
Неправильно. Нажми правой кнопкой в браузере => HTML-код. Почему ты видишь только HTML-код? Где PHP-код?

   
 
 автор: Незнайка   (20.04.2008 в 20:23)   письмо автору
 
   для: Atheist   (20.04.2008 в 20:18)
 

Нет. Я имею в виду захожу в паку /config/config.php и смотрю пароль к базе данных.
Или я туда не зайду?

   
 
 автор: Atheist   (20.04.2008 в 20:26)   письмо автору
 
   для: Незнайка   (20.04.2008 в 20:23)
 

> Нет. Я имею в виду захожу в паку /config/config.php и смотрю пароль к базе данных.
Ну заходи. Например, в папку "forum", файл index.php на этом сайте. Что тебе мешает?

   
 
 автор: Незнайка   (20.04.2008 в 20:36)   письмо автору
 
   для: Atheist   (20.04.2008 в 20:26)
 

>> Например, в папку "forum", файл index.php на этом сайте. Что тебе мешает?
Мы вроде про другую папку говорили? Или я не "догоняю"?

Еще раз, пожалуйста по "буквам"

   
 
 автор: Atheist   (20.04.2008 в 20:57)   письмо автору
 
   для: Незнайка   (20.04.2008 в 20:36)
 

А чем интересно они отличаются? Названиями? Давай поговорим об этой папке: по твоим понятиям к ней доступ не закрыт и всё можно прочитать и посмотреть.

   
 
 автор: Незнайка   (20.04.2008 в 21:07)   письмо автору
 
   для: Atheist   (20.04.2008 в 20:57)
 

Кажись понял, это я на прямую могу на локальной машине в папку (config) зайти. а через браузер ничего не видно. Вы наверно это имели ввиду?

   
 
 автор: Atheist   (20.04.2008 в 21:19)   письмо автору
 
   для: Незнайка   (20.04.2008 в 21:07)
 

Ну не совсем. Набери в браузере file://C:/...путь_к_папке_config/config.php

И посмотри код. Будет PHP-код со всеми переменными и прочим.

   
 
 автор: Незнайка   (20.04.2008 в 21:23)   письмо автору
 
   для: Atheist   (20.04.2008 в 21:19)
 

Блин, а так видно.

Че теперь делать?
Или можно не загоняться по этому?


К сожалению не дождался Вашего ответа. Убегаю. Завтра посмотрю ответ.

P.S. Всем Спасибо за ответы

   
 
 автор: Atheist   (20.04.2008 в 21:32)   письмо автору
 
   для: Незнайка   (20.04.2008 в 21:23)
 

> че теперь делать?
Снимать штаны и бегать.

Я лишь хотел сказать, что через браузер видно то, что ему передают, а не "через браузер ничего не видно". По HTTP-протоколу передают документы, которые отдаёт сервер. Эти документы уже на самом сервере могут по-разному формироваться: браться из файла (статический документ) или генерироваться какой-то программой (PHP, например).
А запрос file://... аналогичен тому, что ты зашел в проводник, нашел файл и с помощью контекстного меню открыл его программой IE (или Firefox, или Opera, или че там у тебя).

   
 
 автор: Незнайка   (21.04.2008 в 09:10)   письмо автору
 
   для: Atheist   (20.04.2008 в 21:32)
 

Спасибо за разъяснения.

P.S. >> Снимать штаны и бегать. У меня дома тепло, я в труселях (не в красных) гоняю.

   
 
 автор: cheops   (20.04.2008 в 20:14)   письмо автору
 
   для: Незнайка   (20.04.2008 в 20:08)
 

PHP-файл выдаёт лишь один HTML-код, если вы не имеете FTP-доступа к сайту или на сайт не загружен PHPSHELL подсмотреть пароль невозможно. Если доступ имеется или загружен PHPSHELL - сайт считается уже взломанным.

   
 
 автор: Незнайка   (20.04.2008 в 20:20)   письмо автору
 
   для: cheops   (20.04.2008 в 20:14)
 

Чуть, чуть, чуть понял : )

P.S. Учиться и учиться...

   
 
 автор: vitali   (21.04.2008 в 09:23)   письмо автору
 
   для: Незнайка   (20.04.2008 в 20:20)
 

Давно хотел спросить (Вопросы к SoftTime-цам), почему:
1) Фрагменты текстов с SQL-скриптами не выносятся в отдельные библиотеки-шаблоны, помещенные в отдельную папку (например, SQLS)?
Все Ваши $query = "...."; проидентифицировать), тогда Ваши продукты будут иметь минимальную зависимость от базы данных (всгустнулось - адаптировал SQL-ли на другую базу, напримр, на DB-2) при этом не трогая остальные PHP-скрипты, т.к. в них будут только $query_тра-ля-ля, которые можно подгрузить (require, include) .
2) Каталоги: с конфигурационными файлами, с SQL-шаблонами не поднять Выше public_html? Тогда воросы доступа к этит разделам защищаются сервером
3) Почему каталоги для "картинок" и динамически создаваемых файлов распологаются в там же, где и каталоги скриптов? Разве нельзя как в unix-ах: ~user - место для скриптов, ~page_user - место для "куратора" сайта, здесь и "картинки" и "файлики".

   
 
 автор: Atheist   (21.04.2008 в 11:37)   письмо автору
 
   для: vitali   (21.04.2008 в 09:23)
 

2 (про каталог) - бред. Почитай эту тему.

   
 
 автор: vitali   (21.04.2008 в 12:17)   письмо автору
 
   для: Atheist   (21.04.2008 в 11:37)
 

> Atheist "... 2 (про каталог) - бред. Почитай эту тему."
Вы хотите сказать, что вы можете на Unix-ах (не зная паролей root: или "хозяина") открыть любой каталог???

   
 
 автор: Atheist   (21.04.2008 в 12:26)   письмо автору
 
   для: vitali   (21.04.2008 в 12:17)
 

Я же сказал: прочитай тему.

   
 
 автор: cheops   (21.04.2008 в 12:02)   письмо автору
 
   для: vitali   (21.04.2008 в 09:23)
 

1) Не удобно с кодом будет работать - читабельность в этом случае резко понижается
2) Это не имеет смысла, если злоумышленик имеет возможнсть смотеть содержимое файлов, он может помотреть и выше public_html
3) Не очень понятно.

   
 
 автор: vitali   (21.04.2008 в 12:35)   письмо автору
 
   для: cheops   (21.04.2008 в 12:02)
 

> cheops
1) читабельность в этом случае резко понижается (выигриш переносимость на другую базу), читабельность - решается хорошим документированием, У Вас (на мой взгляд)документирование построено по принципу "... удачно брошенная фраза, порой ценнее фолианта) .
Д.Грис «Наука программирования»; Г.Майерс «Искусство тестирования программ», Б. Боэм «Характеристики качества программного обеспечения» и.т.д. еще в прошлом столетии уделяли теме документирования большое внимание. (Ими были разработаны правила оформления программных модулей, обоснована необходимость грамотного документирования).
Разработаны целые пакеты автодокументирования. В PEAR-соглашениях этот вопрос также не остался без внимания.

2) Доступ к каталогам скриптов как правило ограничивается "хозяином" и "группой" (лимитирую для членов группы доступ к конфигурационным файлам) , как "вражина" ко мне прорвется, FTP к каталогам "developers" закрыт на продуктиве.

   
 
 автор: vitali   (21.04.2008 в 12:46)   письмо автору
 
   для: vitali   (21.04.2008 в 12:35)
 

Реплика про SQL-шаблоны, когда-то html-теги были перегружены "стилями", сейчас все "украшательство" перенесли в css и это стало нормой.
В PHP-скриптах, также нет смысла визуализировать SQL-ли, достаточно поставить комментарий, что сие делает.
Если над проектом работает команда, то одни ваяют с базой, другие логику, третьи дизайн. И это правильно. Универсальный солдат хорош только в мультиках, программирование - коллективное творчество.

   
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования