[linux] Vyplnanie osobneho profilu na strankach Lugconu

[Jan Sarenik]

Ahojte!

> este odporucam lepsie ochranit meno a heslo do databazy, ktore je 
> pristupne aj z webu (neskusal som ci funguje) -- detaily posielam 
> sukromne. A este, ked som zadal ako login name apostrof, vyhodilo to 
> nejaku SQL chybu, takze mozno by sa dal spravit aj SQL injection utok...

Dakujem Matusovi na upozornenie na chybu.
Momentalne uz zopakovanie chyby nieje mozne.

Nasleduje popis problemu a riesenia:

  Za davnych cias vytvoreny registracny system lugconov pouziva databazu
PostgreSQL, pricom samozrejme potrebuje vediet meno a heslo do databazy.
Tieto boli ulozene v subore config.inc, ktory bol verejne pristupny pod
adresou http://www.sklug.sk/lugcon-reg/config.inc co vobec nieje dobre.

Avsak povodny autor mal pojem o bezpecnosti. Dany subor vyzera priblizne
nasledovne:

----- config.inc -----
<?

if (eregi("config.inc",$PHP_SELF)) {
    die("F.J.");
} else {

#
# Konfiguracia webovskeho rozhrania.
#
	$dbname = "meno_databazy";
	$dbuser = "pouzivatelske_meno";
	$dbpass = "heslo_databazy";

	$realm = "Databaza LUGCON";
#
# Koniec konfiguracie webovskeho rozhrania.
#

	$version = "0.2";
}
?>
----- config.inc -----

Takze jediny problem bol, ze tento subor sa sam osebe neinterpretoval
ako PHP. To som zabezpecil v konfiguracii Apacha nasledovnym sposobom:

<Location /lugcon-reg>
  ForceType application/x-httpd-php
</Location>

Problem, zda sa, je vyrieseny.

Prosim bezpecnostnych koumakov aby mi k tomu nieco povedali.

  Prajem Vam pekny bezpecny den
   S pozdravom
    JaSan.