| |
|
|
| | Чем она может быть страшна, если максимум что может узнать злоусышленник это название базы данных, удалить например он ничего не сможет не зная название таблицы. | |
| |
|
|
| |
|
|
| |
для: neokortex
(15.04.2008 в 12:51)
| | | Если у вас имеются пароли, пусть даже в другой таблице - их можно узнать и получить несанкционированный доступ к системе управления сайтом. | |
| |
|
|
| |
|
|
| |
для: cheops
(15.04.2008 в 12:53)
| | | ну вот смотрите есть одна таблица например 'page' где содержится информация о страницах сайта (содержание, описание, титл, кейворды), максимум что я могу узнать это логин и название базы | |
| |
|
|
| |
|
|
| |
для: neokortex
(15.04.2008 в 13:07)
| | | если хренова прописано используем
www.site.ru?select_from_page.php?id=-1 UNION SELECT 0,0,0,0,0,DATABASE(),0,0
Таким образом - только логин юзера узнать и название базы, а не знаем даже что сейчас общаемся с page | |
| |
|
|
| |
|
|
| |
для: neokortex
(15.04.2008 в 13:07)
| | | Можно ещё заставить сервер выполнять многочисленные BENCHMARK()-запросы, что может сильно снизить его производительность, а при настойчивости и положить его. | |
| |
|
|
| |
|
|
| |
для: cheops
(15.04.2008 в 13:18)
| | | а что делает этот benchmark? | |
| |
|
|
| |
|
|
| |
для: neokortex
(15.04.2008 в 13:23)
| | | Позволяет многократно выполнять какой-нибудь ресурсоемкий запрос длительное время с целью измерения производительности MySQL-сервера. | |
| |
|
|
| |
|
|
| |
для: cheops
(15.04.2008 в 14:05)
| | | ошибаетесь... я поломал немало сайтов, а вся перлесть в том, что с 5 версии MySQL ввели специальную базу данных INFORMATION_SCHEMA, и если доступ к ней есть, можно вытянуть названия всех баз, таблиц, столбцов и так далее.. а ище есть mysql.user но к ней доступ норм. админы отключают.. | |
| |
|
|
| |
|
|
| |
для: panandy
(16.04.2008 в 16:08)
| | | >ошибаетесь...
Ошибаюсь в чём?
>а ище есть mysql.user
Системные таблицы можно даже не рассматривать. | |
| |
|
|
