Не понимаю, почему движок IPB, который на форуме используется, так коряво написан. То и дело находят возможности выполнения произвольного запроса к базе данных (на www.securitylab.ru их перечислено немерено). При удачном стечении обстоятельств - захват админского пароля. С последующей расшифровкой парой "добрых" программ и взломом форума. Даже если идёт постояный бекап данных, можно и тут напакостить: есть возможность залить на сервер хитрый PHP-скрипт, открывающий консоль на сервере (а если PHP запущен с админскими правами - смерть), то можно и возможность бекапа погадить. Но это так, размышления. А дело вот в чём. Вернувшись недавно после некоторого перерыва к написанию своего движка, я так спланировал работу с базой данных (специальный скрипт db.php), что возможность произвольного запроса стремится к нулю. Тем более, что общение с сервером баз данных происходит в скриптах не напрямую, а через обращение к этому db.php. Есть даже специальный класс database со множеством функций. Так что в этом плане взломоустойчивость нового движка предполагается намного выше.
|
