em mới nghĩ ra 1 cách hạn chế hack vào db cho các ứng dụng nhưng đây chỉ là ý tưởng thôi !

vd như các attacker khi có được 1 remv trên host đặt forum rồi thì họ sẽ cố gắng tìm cách get host , hoặc get root ! Nhưng đối với 1 serv config kĩ thì họ sẽ ko làm được gì ngoài cách đọc file config để chui vào db fá fách này nọ !

Vậy tại sao mình ko làm an toàn file config nhĩ ???

vd :

file config của em :
<?
$f="host khác.com/txt.php"
$read=readfile($f);
?>

và nội dung của file host khác.com/txt.php là info chứa user + pass của db

Vậy attacker sẽ làm cách nào để chui vào db nhĩ


Tuy đơn giãn nhưng em nghĩ nó cũng là 1 cách hạn chế để cho các script kidie phá phách

Lưu ý : Em chỉ nói là để file config ở host khác thôi chứ em ko nói là để db ở host khác nhé
-nhocbmt 

<?
$f="host khác.com/txt.php"
$read=readfile($f);
?> 

<?
$f="host khác.com/txt.php"
$read=readfile($f);
?> 

If login success
Update ....username (thường) to Admin group 

file config của em :
<?
$f="host khác.com/txt.php"
$read=readfile($f);
?>
 

nếu đã view được file config thì cũng sẽ thấy được "host khác.com/txt.php" và attaker có thể view file config này. Còn nếu dùng 1 số thủ thuật khác để bảo vệ file này thì lại gặp khó khăn khi đọc từ file kia.  

xin cho bit nội dung file txt.php
tại sao phải là *.php ? ..cái host khác có hỗ trợ PHP ko ??  

nội dung txt.php là nội dung file config thực sự mà ứng dụng đang dùng !

Tại sao lại là php àh chắc tại vì browser ko thể view được php nên dùng php !

Tất nhiên .dll hoặc .txt . gì cũng được ! Nhưng có vẻ ko an toàn
 

$f="host khác.com/txt.php"
$read=readfile($f);

$f="host khác.com/txt.php"
$read=readfile($f);  

to phamquoc_truong : Nếu up file txt.php ở host suport php thì làm sao view được hã bạn !

to anh gà mái (gamma95) : Em thấy nó vẫn read được nội dung php mà ? anh thữ trên local xem !

to all : Đúng ! có lẽ em đã sai từ cái cơ bản ... rằng em chỉ mới test trên localhost mà đã vội post lên như thế này !

Nếu các anh chị có hứng thú thì cũng thữ test trên local rồi tìm cách áp dụng lên host xem sao !

để em trình bày quá trình em test trên local cho anh chị xem !
Cũng như em đã nói em có 1 file config như thế này :

Code:

<?php
$server = "localhost";
$database = "music";
$user = "root";
$db_pass= "";
$admin_user= "admin";
$admin_pass= "2e8bf0082ac9b33962170454c5b02c04";
$music="music";
$music_sub="subdirectory";
$music_cat="category";
$broken_url="brokenlink";
$yeucaunhac="yeucaunhac";
$camnhan="camnhan";
$table_message="tinnhan";
$user_table="user";
$max_singer=31;
$max_list_song_singer=31;
$max_show_music_on_home=15;
$max_show_music_on_thongke=10;
$music_include_dir="music_includes/";
$thanhvien_dir="members/";
$max_song_per_page=25;
$max_song_singer_too=35;
$max_show_mem_list=40;


?>

Em bỏ :

Code:

$user = "root";
$db_pass= "";

và thay vào

Code:

$f="D:\txt.php";
$read=readfile($f);

Nội dung file D:\txt.php :

Code:

<?php
$user = "root";
$db_pass= "";
?>

Vâng ! Và nó hoạt động tốt nên em mới phát ra ý tưởng như trên !

Lúc em post bài này thì em chỉ mới test trên local ! híc ! Tức thì em ra net test thì thấy vẫn chưa được...

Có lẽ em sai ...... ! Sorry !