1. Задавайте здесь вопросы о коде, которые не подходят в другие разделы, такие как:
    Дизайн > Верстка
    PHP > Как сделать на PHP
    Скрыть объявление

Что за значение?

Тема в разделе "Web Coding", создана пользователем gorilla, 3 дек 2007.

Статус темы:
Закрыта.
Модераторы: latteo
  1. gorilla

    gorilla

    Регистр.:
    11 сен 2007
    Сообщения:
    211
    Симпатии:
    27
    Вот есть код страницы входа в систему.

    <?
    if($psw=="")
    {
    $psw="5852346fhgjdkh858";
    }
    else
    include "setup.php";
    session_start();
    if(isset($submit) )
    {
    $result=mysql_query("select * from users where login='$log'");
    $row=mysql_fetch_array($result);
    $pasw=$row["pass"];
    }
    if($pasw==$psw){
    $HTTP_SESSION_VARS['l']=$log;
    $HTTP_SESSION_VARS['p']=$psw;
    ?>
    <script>
    location.href="index.php" ;
    </script>
    <?
    }
    else
    print "<br><img src='img/error.gif' border='0'><br><b>Ошибка! Неверный логин или пароль !!!</b>";
    ?>

    Обьясние что за значение переменной $psw="5852346fhgjdkh858"; для чего оно???
     
  2. terkin

    terkin

    Регистр.:
    9 дек 2006
    Сообщения:
    513
    Симпатии:
    162
    По всей видимости если человек не ввёл пароль то вместо того что бы как положено ему сказать чудила введи пароль, скрипт задает в качестве пароля 5852346fhgjdkh858
     
  3. RomAndry

    RomAndry Постоялец

    Регистр.:
    21 ноя 2007
    Сообщения:
    102
    Симпатии:
    24
    означает, что если не введен пароль использовать 5852346fhgjdkh858, а если ввели что нибудь - подключить setup.php

    Видимо кто-то оставил служебный вход по умолчанию :)

    А вообще код жесть!
    Это где ж такое, если не секрет? =)
     
  4. gorilla

    gorilla

    Регистр.:
    11 сен 2007
    Сообщения:
    211
    Симпатии:
    27
    Понятно а я думал это пароль ко всем логинам)))
    Ето из скритпа казино масвет
     
  5. RomAndry

    RomAndry Постоялец

    Регистр.:
    21 ноя 2007
    Сообщения:
    102
    Симпатии:
    24
    ужас.
    прикольнуло поискать, вот что обнаружил:
    Перейти по ссылке

    файл называется login_proc.inc
    самое интересное
    GET /?pg=login_proc
    а значит:
    1. если inc файлы не обрабатываются PHP код будет виден прямо в браузере.
    2. если через pg можно подключить файл то можно пойти намного дальше.
    3. если идет "такая" проверка на вход, когда пароль в чистом виде идет в сессию, а значит есть вероятность забрать сессию и увидеть пароль(и).

    Вообщем совет, если это работающая система- срочно провести аудит безопасности!

    Успехов!
     
  6. gorilla

    gorilla

    Регистр.:
    11 сен 2007
    Сообщения:
    211
    Симпатии:
    27
    У меня на хосте в панели управления сайтом есть функция добавить расширение php если добавить туда расширение inc то оно будет обрбатыватся как пхп или нет???
     
  7. RomAndry

    RomAndry Постоялец

    Регистр.:
    21 ноя 2007
    Сообщения:
    102
    Симпатии:
    24
    ну по идее да, я не знаю какая панель.
    а попробовать ты и сам можешь прямо в браузере =)
     
  8. gorilla

    gorilla

    Регистр.:
    11 сен 2007
    Сообщения:
    211
    Симпатии:
    27
    Панель hsphere вроде так называется а хостер leaderhost.

    Добавлено через 5 минут
    Нечего боятся я попробовал так Перейти по ссылке домен.ru/pg/login_proc.inc

    don't have permissions to access this page. This usually means one of the following:

    this file and directory permissions make them unavailable from the Internet.
    .htaccess contains instructions that prevent public access to this file or directory.
    Please check file and directory permissions and .htaccess configuration if you are able to do this. Otherwise, request your webmaster to grant you access.

    И вот что получил от сервера хтассес не даёт запустить.
     
  9. Vio

    Vio Создатель

    Регистр.:
    28 май 2007
    Сообщения:
    34
    Симпатии:
    2
    Будет, только настоятельно не рекомендую тебе делать этого -)
     
  10. RomAndry

    RomAndry Постоялец

    Регистр.:
    21 ноя 2007
    Сообщения:
    102
    Симпатии:
    24
    Почему не рекомендуешь?
     
Статус темы:
Закрыта.