[閒聊] 安全性是很重要的

看板PHP作者jsu (Je me souviens)時間17年前 (2009/01/07 06:26)推噓1(1推 0噓 2→)

留言3則, 2人參與討論串1/1

http://www.macrumors.com/2009/01/06/macrumorslive-hacked/ Database info: ---------------- define("HOSTNAME_PRIMARY", "db.net.macrumorslive.com"); define("HOSTNAME_BACKUP", "75.125.164.34"); define("DB_NAME", "macrumors_event"); define("DB_USERNAME", "macrumors"); define("DB_PASSWORD", "BRncBRVq"); define("DB_TABLE_NAME", "event"); function db_connect($type="autoselect"){ ... $db = mysql_connect(HOSTNAME_PRIMARY, DB_USERNAME, DB_PASSWORD, TRUE) .. } Amazon S3 info: --------------- define("AMAZON_AWS_KEY", "0JEXNB6B7D93413R8P82"); define("AMAZON_AWS_SECRET", "HEK2bdvweDlLapDDhFS4la+aizmXiwjz4BkWub2M"); Log server info: --------------- define("SERVER_STATUS_ENABLE", true); define("SERVER_STATUS_SECRET", "KNEIFHS93JHT8734SWOER872NRKGJ"); define("SERVER_STATUS_GET_URL", "http://monitor.net.macrumorslive.com/php/shellscripts/status_receive.php"); define("SERVER_STATUS_PASSWORD", "LznxNYwp"); define("SERVER_STATUS_DB_HOST", "monitordb.net.macrumorslive.com"); .htaccess info: --------------- knox:B7RL0F2Po/iKA mrl:rjpmgPvrWYJWs mrlinternal:tdTTLEvGdINR6 mrladmin:XGKTaU5leMJvc szark:YuJ5wBd26l8dk wildcowboy:ruieaWXSW9SUk ben:ryWGjJx3voywI jsw:3B4RJOehtcD9Q status:0YyXEk0NZLmCc 以上資料全部都是從 www.macrumors.com 的後臺拿到的從很早以前寫程式就一直很注重效能及安全性自從開始寫 php / python 之後更是以不影響效能為前提增加不同地保護機制甚至於所有的 php 檔案，除了 index.php 之外，全都包裝成物件連設定檔等等都必需經由 $globalvars 去讀取所有的 $_REQUEST 也都只能從 $http 存取，由 $http 完成所有的前置驗證保護等等幾年前開始有 internet banking 的時候很流行利用簡單地更改 GET value 取得別人銀行資料而後又有 fake form attack 送資料改東西砍資料庫接著 sql injection 大流行，大家玩得不亦樂乎現下的伺服器系統幾乎都保護得不錯沒想到連這麼大的麥克乳摸都會出這麼一個大包大家不管是吃這行飯的還是出於興緻好玩的還是要多注意基本的東西程式，真的不是只會動就算完成了效能∕安全性∕擴充性想當年還有在玩天堂的時候，那個 LineX 的網站也是漏洞一大票花十分鐘寫個 script 就可以把所有人的帳號全撈出來也可以利用漏洞更深一層去用別人 LineX 帳號去註冊自己的天堂角色 Programming is serious business !!!!!!! -- 乘長風，破巨浪　我海軍勇向前航 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 216.254.61.170