Sólo texto | Texto con Imágenes

Test Foro de elhacker.net SMF 2.1

Programación => Desarrollo Web => PHP => Mensaje iniciado por: lilyei en 23 Octubre 2019, 02:01 AM

Título: PHP visibilidad de codigo?
Publicado por: lilyei en 23 Octubre 2019, 02:01 AM
Tengo esta duda alguien que es muy bueno y hackea mi pagina es posible que pueda ver el mi codigo php? :-(
Título: Re: PHP visibilidad de codigo?
Publicado por: engel lex en 23 Octubre 2019, 02:12 AM
depende de que hackeo sea...

- si entra al servidor (ej: ssh o ftp), verá todo lo que tu puedas ver...
- si logra subir y ejecutar un .php (usualmente le llaman "shell") hecho por el igualmente...
- si logra una inyeccion SQL no, solo podrá ver/alterar el contenido de la base de datos *
- si logra inyectar un js, no
- un xss, no
- una publicidad maliciosa, no**
y en general son mas no, que si


aclaratoria:
* por eso es importante el usuario de la db que use el php limitarlo a por ejemplo solo hacer las 4 operaciones basicas, select/update/insert/delete, si el usuario sql tiene todas las opciones podrá incluso borrar tablas. si a demas es un usuario con los permisos de grant y execute (como es root), estamos entonces en el primer caso (entró al servidor ya que puede ejecutar comandos de consola)
** a menos que te robe la contraseña de administrador en el panel de login
Título: Re: PHP visibilidad de codigo?
Publicado por: @XSStringManolo en 23 Octubre 2019, 07:53 AM
Hay gente que usa el mismo correo para gihub en el que publica su código PHP que el de admin de la web :laugh:
Título: Re: PHP visibilidad de codigo?
Publicado por: lilyei en 25 Octubre 2019, 00:16 AM
Cita de: engel lex en 23 Octubre 2019, 02:12 AM
depende de que hackeo sea...

- si entra al servidor (ej: ssh o ftp), verá todo lo que tu puedas ver...
- si logra subir y ejecutar un .php (usualmente le llaman "shell") hecho por el igualmente...
- si logra una inyeccion SQL no, solo podrá ver/alterar el contenido de la base de datos *
- si logra inyectar un js, no
- un xss, no
- una publicidad maliciosa, no**
y en general son mas no, que si


aclaratoria:
* por eso es importante el usuario de la db que use el php limitarlo a por ejemplo solo hacer las 4 operaciones basicas, select/update/insert/delete, si el usuario sql tiene todas las opciones podrá incluso borrar tablas. si a demas es un usuario con los permisos de grant y execute (como es root), estamos entonces en el primer caso (entró al servidor ya que puede ejecutar comandos de consola)
** a menos que te robe la contraseña de administrador en el panel de login
Me quedo muy claro se agradece tu respuesta
Sólo texto | Texto con Imágenes