у меня вообще ощущение что у вы о разном говорите, Игорь пытается одно объяснить, ты совсем другое делаешь.. а ещё я заметил что ты не читаешь то что тебе в ссылках подсовывают)
nvrskozzy
16.05.2013 - 10:10
хз) вопрос решил) всем спасибо)
_____________
Игорь_Vasinsky
16.05.2013 - 10:35
ты свой маленький вопрос решил - и тем самым открыл самую опасную уязвимость для всех своих сайтов одним разом.
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
nvrskozzy
16.05.2013 - 11:04
где пароль хранить? в самом скрипте я так понял нет смысла в открытом виде держать.. бд не юзаю)
_____________
Игорь_Vasinsky
16.05.2013 - 11:14
дело не в пароле - а в eval()
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
nvrskozzy
16.05.2013 - 12:12
а как по другому решить-то? и какая уязвимость есть через eval?
_____________
Игорь_Vasinsky
16.05.2013 - 12:14
| Цитата |
| а как по другому решить-то? |
я те расписал всё для нельзя про API
| Цитата |
| и какая уязвимость есть через eval? |
эта функция из строки выполнит код php
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
nvrskozzy
16.05.2013 - 13:14
благодарю добрый человек за поучения уму разуму))
у меня файл настроек это сам скрипт там всё выполняется, сайт удалённый куда инклудятся настройки только выводит результат, получается не настройки а сам сайт, его тело на удалёнке..
api как я понял позволяет только передать переменные нужные, но не код который надо выполнить, или код тож можно?
загоняем например код в переменную и передаём, а дальше чего? снова евал, не?)
_____________
Игорь_Vasinsky
16.05.2013 - 13:23
| Цитата |
| api как я понял позволяет только передать переменные нужные, но не код который надо выполнить, или код тож можно? |
передал просто параметры на удалённый сайт - а он их принял и отработал у себя код - вернул тебе json строку.
ты её принял, обработал.
вот так и поменялись данными.
| Цитата |
| агоняем например код в переменную и передаём, а дальше чего? снова евал, не?) |
это нафиг не надо делать - это сайту может повредить - если ты корявый код передашь.
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
nvrskozzy
16.05.2013 - 13:33
удалённый сайт куда инклудим скрипт фактически пустой, весь код на удалёнке, дабы его можно было поправить в любой момент на всех однотипных сайтах сразу..
предлагаете вообще отказаться от такой схемы работы?
постоянно править каждый сайт тоже не дело..
_____________
Игорь_Vasinsky
16.05.2013 - 13:40
| Цитата |
| предлагаете вообще отказаться от такой схемы работы? |
да
| Цитата |
| постоянно править каждый сайт тоже не дело.. |
я предложил API
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
nvrskozzy
16.05.2013 - 13:57
| Цитата (Игорь_Vasinsky @ 16.05.2013 - 09:40) |
| я предложил API |
с его помощью можно передать код скрипта, а не только параметры?
_____________
Игорь_Vasinsky
16.05.2013 - 14:03
БЛЯХА. да для чего????????????? ты может передать параметр и приняв его выполнить код.
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
Быстрый ответ:
Powered by dgreen
Здесь расположена полная версия этой страницы.