Correctie. Mijn Fedora VM is wel vulnurable, mijn root gebruiker van MySQL had geen wachtwoord, logisch dus...
Dus, andere oplossing, de MySQL users geen wachtwoord geven, lol.
Posts by Stefan.J
-
-
VonDutch: Als niemand anders erbij kan als jou, en je weet 100% zeker dat dat altijd zo is, dan niet. Maar toch is het slordig.
Op mijn Fedora VM lukt het niet, ook niet naar 10000 keer om MySQL binnen te komen met een bad password. Toch, gecompileerd met GCC en CC, geeft het memcmp script resultaten die vulnerablity aangeven. Het ligt denk ik dus aan de hele stack, en hoe MySQL precies is gecompileerd. Gewoon zelf testen dus..
-
Ik ben het er inderdaad mee eens dat hier een bron vermelding bij hoort. Het is in ieder geval goed te vinden:
http://www.security.nl/artikel/41943/…_MySQL-lek.html
https://community.rapid7.com/community/meta…y-flaw-in-mysqlDe meeste MySQL systemen zijn echter niet van buitenaf te benaderen. Wel draaien veel mensen PHPMyAdmin, waardoor je alsnog indirect toegang hebt. Mijn aanraden zou dus zijn om je MySQL deamon niet beschikbaar te maken buiten je machine of netwerk, dan zit je redelijk save.
Ik ga mijn Fedora VM eens nader inspecteren, ben benieuwd!
-
Minder mensen gaan doorklikken? Ik wil mijn website wel op die manier rechts in beeld zien verschijnen. Als mensen echt informatie willen klikken ze best door. Daarbij, als ik bijvoorbeeld iemands leeftijd zoek klik ik al niet door omdat het meestal in het in Google weergeven fragment al te vinden is.
-
Ik weet niet hoe je het nu hebt opgelost, maar dit is denk ik wat je zoekt:
http://php.net/manual/en/language.operators.errorcontrol.php
-
Wie zijn anderen? Anderen over het internet of in hetzelfde netwerk? Ik verwacht dat je achter een NAT (Network Address Translation) zit, waardoor jou internet IP-adres (waarschijnlijk 192.168.x.x) voor de rest van het internet wordt gemapped in je router naar het adres van je router, je werkelijke IP-adres voor de buitenwereld, zoals deze te zien is op bijvoorbeeld http://www.watismijnip.nl.
Of je werkelijk achter een NAT zit is makkelijk te achterhalen door het IP-adres dat ipconfig (cmd -> ipconfig) geeft te vergelijken met het adres dat watismijnip.nl geeft te vergelijken.
-
Zo spectaculair vind ik dit zeker niet... Als ik iemands laptop in handen krijg kan ik daar met wat moeite ook alles vanaf halen, vooral als het gaat om een Windows PC.
Denk je dat je wachtwoordje je data beveiligd? Zeker niet, je data wordt heus niet geëncrypteerd...
-
-
Je kunt je website niet 100% zeker tegen alle mogelijke beveiligingslekken beveiligen. Er kunnen zoveel dingen fouten bevatten (je server configuratie, Apache, MySQL, PHPMyAdmin, je eigen website...).
99% ben ik het overigens ook zeker niet mee eens. Alleen SQL injection en XSS, kunnen worden voorkomen met de genoemde maatregelen en zelfs deze niet in alle gevallen. Nog niet gesproken over alle andere mogelijke beveiligingslekken.
-
Debuggen, en dat kan ook zonder debugger:
1. Gebruik eens [func]var_dump[/func] om te kijken wat er precies in $_POST staat.
2. Schrijf de query eens naar het scherm (echo) in plaats van hem naar de database te verzenden om hem te controleren.En als de resultaten hiervan je niets zeggen, deel de resultaten dan eens met ons.
-
Nee, maar ik vind ook niet dat hij vaak echt buiten het boekje treedt. Hij laat wel zijn mening horen, maar meestal wordt dat wel onderbouwd, en dan kan ik mij er al een stuk minder aan ergeren.
-
Ik vind die BrokenTrack nog helemaal niet z'n vervelende kerel. Hij is namelijk wel één van de betere programmeurs die er op CP rondloopt (niet dat dat een prestatie is), en daar moet je denk ik wel zuinig op zijn...
-
De output die je geeft kan naar mijn idee sowieso niet kloppen:
- tussen 'compared to' en userNick staat in de voorbeeld code geen spatie, die staat wel in je gegeven output.
- de output van userNick bevat hoofdletters, terwijl je de String declareert nadat er op een input string user.getNick() de methode toLowerCase() is aangeroepen.Het eerste probleem zou kunnen betekenen dat op de userNick variabele de trim() methode moet worden aangeroepen, maar de tweede is onverklaarbaar. Hoe zit dat?
Ps. Schrijf unittests voor dergelijke methoden, dat scheelt...
-
Wat jij wilt gaat niet lukken (zonder een frame), omdat de server wel moet weten wat jij wilt, en dat doe je doorgaans door de URL aan te passen.
Wat is je motivatie om dit zo te willen doen?
-
Dat ligt eraan wat je met het element wilt. Is het bijvoorbeeld een soort van popupbox die toch wordt gecentreerd in het venster boven alle andere elementen lijkt mij plaatsen in de body zelfs het meest logisch.
In dit geval zou ik dus het element wel degelijk aan de body toevoegen. Dat brengt ook als voordeel met zich mee dat iedere willekeurige pagina altijd een body heeft.
-
In jQuery is de volgende code zeker wel geldig:
PHP$('<div id=qtip-blanket-1>')Het selecteert alleen geen bestaand element, maar maakt een nieuwe (welke hij (nog) nergens op de pagina zet).
In de gegeven code wordt het gemaakt element vervolgens ook aan de body toegevoegd...
Reageren is goed, maar check eerst of je reactie wel klopt, of zet het erbij dat je het niet zeker weet. Ik heb de bovenstaande code voor de zekerheid ook uitgevoerd in mijn browser...
-
Zoiets moet je gewoon in je query oplossen.
Een randomnummer berekenen kan ook met MySQL:
http://dev.mysql.com/doc/refman/5.0…l#function_rand -
-
Lijkt me sterk dat ze WordPress gebruiken, dat preformed niet op z'n grote basis. Overigens scaled PHP sowieso niet voor een dergelijk grote website.
-
Op zich een goed uitziende lay-out. Hij lijkt alleen wat druk door de kolomverdeling die niet gelijk is, en doordat alle kolommen tot aan de rand zijn gevuld met tekst.
Misschien kun je ook iets spannendere kleuren gebruiken, deze maken de lay-out wat saai, maar ook wel weer rustig.
De button kan het denk ik ook wel aan met alleen de tekst 'Inloggen'.
