Перейти к публикации

запуск по крону install.php на чужом сайте


Рекомендованные сообщения

Внимание: После установки или обновления скрипта на сервере, обязательно удалите файл install.php и папку /upgrade/, иначе будет возможно вновь инициировать процесс инсталляции скрипта, тем самым уничтожив существующую структуру данных.

В инструкции по установке скрипта достаточно заметно выделено это предложение.

Сможет ли злой умышленник включить на своём хосте вызов этого скрипта с какими-то особенно злыми параметрами.. ну скажем каждые 15 минут, с целью поймать момент, когда будет происходить обновление.. и вызвать его ещё раз?! ;)

Не изучал скрипты установки особенно внимательно, но ведь там, как минимум, запрашивается пароль к БД.. в чём именно опасность?

Ссылка на сообщение
Поделиться на других сайтах

Не изучал скрипты установки особенно внимательно, но ведь там, как минимум, запрашивается пароль к БД.. в чём именно опасность?

Раз написано удалить значит так нужно. Скрипт запрашивает пароль к БД, для того чтобы сайт в дальнейшем подключался к этой БД и работал с ней. Да злоумышленник не знает вашего пароля к БД, ну и что, он может ввести "левые" данные и скрипт их внесет в конфигурационный файл и ваш сайт попросту отключится, т.к. не будет знать корректных данных для подключения. Поэтому и нужно удалять.

Ссылка на сообщение
Поделиться на других сайтах

Раз написано удалить значит так нужно.

А может в конце успешной инсталляции создать маленький файл для проверки последующих запусков файла install.php ?

Тогда шутник без доступа к ФТП и удаления этого файлика запустить забытый и не стертый install.php не сможет (ну при проверке внутри скрипта разумеется :) ).

Ссылка на сообщение
Поделиться на других сайтах

Тогда шутник без доступа к ФТП и удаления этого файлика запустить забытый и не стертый install.php не сможет (ну при проверке внутри скрипта разумеется ).

эта проверка есть в новых версиях, но все равно нужно удалять.

Ссылка на сообщение
Поделиться на других сайтах

Ну не знаю.. коряво как-то.. почему нельзя писать конф. файл после проверки правильности пароля, к примеру ;)

Понятно, конечно, что от греха подобные вещи надо удалять с сервера.

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...