error2k 2 Опубликовано: 11 декабря 2007 Рассказать Опубликовано: 11 декабря 2007 Внимание: После установки или обновления скрипта на сервере, обязательно удалите файл install.php и папку /upgrade/, иначе будет возможно вновь инициировать процесс инсталляции скрипта, тем самым уничтожив существующую структуру данных. В инструкции по установке скрипта достаточно заметно выделено это предложение. Сможет ли злой умышленник включить на своём хосте вызов этого скрипта с какими-то особенно злыми параметрами.. ну скажем каждые 15 минут, с целью поймать момент, когда будет происходить обновление.. и вызвать его ещё раз?! Не изучал скрипты установки особенно внимательно, но ведь там, как минимум, запрашивается пароль к БД.. в чём именно опасность? Ссылка на сообщение Поделиться на других сайтах
ShVad 2 Опубликовано: 11 декабря 2007 Рассказать Опубликовано: 11 декабря 2007 Если он будет знать пароли от твоей MySQL - то да *LOL* Ссылка на сообщение Поделиться на других сайтах
celsoft 6220 Опубликовано: 11 декабря 2007 Рассказать Опубликовано: 11 декабря 2007 Не изучал скрипты установки особенно внимательно, но ведь там, как минимум, запрашивается пароль к БД.. в чём именно опасность? Раз написано удалить значит так нужно. Скрипт запрашивает пароль к БД, для того чтобы сайт в дальнейшем подключался к этой БД и работал с ней. Да злоумышленник не знает вашего пароля к БД, ну и что, он может ввести "левые" данные и скрипт их внесет в конфигурационный файл и ваш сайт попросту отключится, т.к. не будет знать корректных данных для подключения. Поэтому и нужно удалять. Ссылка на сообщение Поделиться на других сайтах
Akela 9 Опубликовано: 11 декабря 2007 Рассказать Опубликовано: 11 декабря 2007 Раз написано удалить значит так нужно. А может в конце успешной инсталляции создать маленький файл для проверки последующих запусков файла install.php ? Тогда шутник без доступа к ФТП и удаления этого файлика запустить забытый и не стертый install.php не сможет (ну при проверке внутри скрипта разумеется ). Ссылка на сообщение Поделиться на других сайтах
celsoft 6220 Опубликовано: 11 декабря 2007 Рассказать Опубликовано: 11 декабря 2007 Тогда шутник без доступа к ФТП и удаления этого файлика запустить забытый и не стертый install.php не сможет (ну при проверке внутри скрипта разумеется ). эта проверка есть в новых версиях, но все равно нужно удалять. Ссылка на сообщение Поделиться на других сайтах
lifestar 18 Опубликовано: 11 декабря 2007 Рассказать Опубликовано: 11 декабря 2007 Кажется ваш способ IPB использует Ссылка на сообщение Поделиться на других сайтах
error2k 2 Опубликовано: 12 декабря 2007 Рассказать Опубликовано: 12 декабря 2007 Автор Ну не знаю.. коряво как-то.. почему нельзя писать конф. файл после проверки правильности пароля, к примеру Понятно, конечно, что от греха подобные вещи надо удалять с сервера. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Архивировано
Эта тема находится в архиве и закрыта для публикации сообщений.