[linux] Vyplnanie osobneho profilu na strankach Lugconu

[stab]

cawko

skus radsej do httpd.conf pridat toto :
AddType application/x-httpd-php .inc

stab

Jan Sarenik wrote:

>Ahojte!
>
>  
>
>>este odporucam lepsie ochranit meno a heslo do databazy, ktore je 
>>pristupne aj z webu (neskusal som ci funguje) -- detaily posielam 
>>sukromne. A este, ked som zadal ako login name apostrof, vyhodilo to 
>>nejaku SQL chybu, takze mozno by sa dal spravit aj SQL injection utok...
>>    
>>
>
>Dakujem Matusovi na upozornenie na chybu.
>Momentalne uz zopakovanie chyby nieje mozne.
>
>Nasleduje popis problemu a riesenia:
>
>  Za davnych cias vytvoreny registracny system lugconov pouziva databazu
>PostgreSQL, pricom samozrejme potrebuje vediet meno a heslo do databazy.
>Tieto boli ulozene v subore config.inc, ktory bol verejne pristupny pod
>adresou http://www.sklug.sk/lugcon-reg/config.inc co vobec nieje dobre.
>
>Avsak povodny autor mal pojem o bezpecnosti. Dany subor vyzera priblizne
>nasledovne:
>
>----- config.inc -----
><?
>
>if (eregi("config.inc",$PHP_SELF)) {
>    die("F.J.");
>} else {
>
>#
># Konfiguracia webovskeho rozhrania.
>#
>	$dbname = "meno_databazy";
>	$dbuser = "pouzivatelske_meno";
>	$dbpass = "heslo_databazy";
>
>	$realm = "Databaza LUGCON";
>#
># Koniec konfiguracie webovskeho rozhrania.
>#
>
>	$version = "0.2";
>}
>?>
>----- config.inc -----
>
>Takze jediny problem bol, ze tento subor sa sam osebe neinterpretoval
>ako PHP. To som zabezpecil v konfiguracii Apacha nasledovnym sposobom:
>
><Location /lugcon-reg>
>  ForceType application/x-httpd-php
></Location>
>
>Problem, zda sa, je vyrieseny.
>
>Prosim bezpecnostnych koumakov aby mi k tomu nieco povedali.
>
>  Prajem Vam pekny bezpecny den
>   S pozdravom
>    JaSan.
>
>  
>
>------------------------------------------------------------------------
>
>_______________________________________________
>http://lists.linux.sk/listinfo/linux
>Prehladavanie archivu: http://search.lists.linux.sk
>Meta FAQ: http://www.sklug.sk/lists/linux/metafaq.html
>