|
|
invalid-password wrote:
Chẳng hạn admin muốn tạo thông tin giả rằng chính user đó đã thực hiện thao tác xoá dữ liệu chứ không phải user của admin, trong khi admin không thể đọc hiểu ý nghĩa của các table + field, giá trị chứa trong đó được mã hoá. Trong CSDL lại không có storedproc nào để xoá, mà ứng dụng sẽ gọi nhiều query trực tiếp để xoá (nó lần lượt thực hiện các thao tác kiểm tra, thống kê, backup, xoá, ghi log, update các table khác, ...), lúc này admin chỉ có thể gọi chức năng delete từ ứng dụng vì nếu mò vào 1 table xoá trực tiếp mà không biết cách update các table liên quan thì DB sẽ bị inconsistent. Hiểu chưa nào ?
- Sự thật là tớ ko hiểu cậu đang nói đến việc gì. Tớ chỉ đề cập admin có mọi quyền vì thế có thể chỉnh sửa, thay đổi, nâng cấp tuỳ ý các accounts thì tại sao lại phải dùng một account khác để thực hiện việc này. Ngoài ra việc thay đổi một account(1) bằng một account(2) thì account(2) làm sao thay đổi account(1) ?? Và tại sao admin lại phải tạo một thông tin giả làm gì ?? Ngoài ra chẳng có tên nào delete records từ csdl đâu.
invalid-password wrote:
Mình đã từng làm 1 hệ thống ứng dụng chạy Oracle có 10000 tables (10 ngàn table, tưởng tượng nổi không ?), có nhiều table mà tên field chỉ có đúng 3 ký tự. Khi ứng dụng chạy 1 thao tác, nếu có trace ra thì nó thực hiện rất nhiều SQL dài, không biết đâu mà lần.
Không phải db nào cũng dễ hiểu như : để xoá một hoá đơn thì gọi thủ tục sp_XoaHoaDon
10.000 tables àh . Bạn cho mình biết bạn viết ứng dụng gì đi, mình sẽ nói cho bạn biết mình có tin hay là không nhưng cơ bản hiện giờ là mình không tin.
Thân,
|
|
|
Trung tâm bảo hành chính hãng.
Thân,
|
|
|
invalid-password wrote:
khanhqhi wrote:
Mình nghĩ việc này không cần thiết, vì admin có toàn quyền, muốn làm gì thì làm, muốn login bằng account nào chẳng được. Cần gì change pass làm gì cho mệt.
Có thể hệ thống rất lớn và admin cũng không nắm được thiết kế đầy đủ. Nếu admin muốn thay đổi dữ liệu dưới danh tính của người khác thì bắt buộc phải login bằng account người khác và thực hiện trên giao diện ứng dụng, chứ không thể chỉ đơn giản mở cái database ra mà insert record mới vào, vì ứng dụng còn làm các công việc liên quan khác khi dữ liệu mới xuất hiện (ví dụ khi mua 1 hoá đơn mới thì ứng dụng không chỉ tạo hoá đơn mà còn phải giảm số lượng mặt hàng, trừ tiền người dùng, giảm bớt 1 hoá đơn, giảm mặt hàng còn lại của 1 hãng, cập nhật lại các thống kê, lưu log thay đổi v.v...).
--> Mình không hiểu là tại sao admin lại phải dùng một account khác để thay đổi thông tin dữ liệu từ users trong khi admin có đủ mọi quyền.
--> Sẽ có các modules thực hiện việc này.
Về câu hỏi của chủ topic thì tớ có 2 gợi ý sau:
1. Cách thứ nhất huyanet đã trình bày đó là nhúng một đoạn extra code vào trong module login.
2. Xem chỗ phần đăng ký và đăng nhập bỏ các code dạng mã hoá đi là đc.
Thân,
|
|
|
Về Thạc sĩ và cao học thì thiên hướng sẽ nghiên cứu nhiều hơn. Ngoài ra mình cũng thấy một số người học cao học với lý do có tấm bằng cao học thì xin đi dạy sẽ tốt hơn là đi làm vì sẽ nhàn hơn.
Thân,
|
|
|
Nếu xài windows 7 thì làm theo cách sau:
Từ màn hình desktop -> click chuột phải -> chọn view -> show desktop icons.
Khỏi cho hiện icons trên desktop nhìn đẹp và thoáng hơn đấy .
Thân,
|
|
|
quanptit wrote:
hihi cái này có tool đó bạn
bạn có thể dùng Web Admin Finder v2.0 tỉ lệ tìm được link admin tầm 80 -> 90 %
Chúc bạn may mắn
Tool này cũng chỉ là một công cụ lọc (filter) mà thôi chứ ko có chính xác như bạn nói đến 80% - 90% đâu. Nó hoạt động dựa trên sự tính toán từ các tên thư mục (folders) mà các quản trị viên thường dùng mà theo cách nói từ các replies phía trên là đoán đó. Ngoài ra các tools dạng này sẽ dựa vào mức độ hiểu biết của từng opensource mà sẽ cho một link tương đối chính xác.
Ngoài ra chỉ có một cách dễ dàng biết đến control panel của administrator là tìm đc các files cấu hình (config) của các site đó mà thôi. Nhưng để làm đc điều "dễ dàng" đó thực sự không dễ.
Thân,
|
|
|
E xin góp ý về đề thi một chút:
5. Nội dung "đề tuyển" gồm có mười lăm (15) câu hỏi bao gồm những câu trắc nghiệm chọn lựa (dạng a, b, c, d) và những câu hỏi đòi hỏi thí sinh phải vận động kiến thức và kinh nghiệm để trả lời. Trong mười lăm câu trên sẽ có năm (5) câu chuyên biệt để khảo sát khả năng ứng xử. Nội dung các câu hỏi sẽ trải dài trong 4 tiêu chí chính của HVA đó là: security - designing - hacking - programming. Xin lưu ý designing ở đây là khả năng thiết kế một hệ thống, một giải pháp hoặc một mô hình chớ không là đồ hoạ.
- Với đề thi như thế này thì bản thân e nghĩ diễn đàn đã hạn chế tham gia của một số người chuyên về một lĩnh vực (hoặc chuyên ngành) rồi. Lấy ví dụ một người nào đó chuyên về bảo mật, thiết kế hệ thống thì khi các câu hỏi được hỏi ở lĩnh vực lập trình sẽ không được trả lời. Ở đây e nghĩ việc lựa chọn sẽ được chia nhỏ ra sẽ hơn hay, cụ thể:
- Security (3 người)
- Design (3 người)
- Hacking (3 người)
- Programming (3 người)
Dĩ nhiên là sẽ có 4 đề tuyển. Khi áp dụng hình thức thi tuyển này thì chất lượng thí sinh trúng tuyển ứng với một lĩnh vực chuyên ngành sẽ chất lượng hơn.
Nói gì thì nói e cũng sẽ tham gia bởi vì lâu rồi ko thi "Đại học" màh, chắc tỉ lệ chọi cho việc này không ít nhỉ
Thân,
|
|
|
Mình chỉ có thể góp ý thêm một chút về các vấn đề về truy vấn (query).
Đối với package lớn như bạn mô tả thì việc các câu truy vấn dữ liệu như thế nào cũng rất quan trọng. Với dữ liệu lớn mà báo cáo khi in ra là trong khoảng thời gian là 1, 2 năm thì việc treo máy cũng là thường.
Để dễ dàng bạn chỉ nên xem lại đoạn code chỗ nhập liệu, thử xem.
Thân
|
|
|
kikilua wrote:
mình đang chạy code shop php
sau khi check thì mình bị mắc lỗi như sau.
An error occurred
Application error
Exception information:
Message: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1
Stack trace:
#0 /home/chorachg/public_html/library/Zend/Db/Statement.php(284): Zend_Db_Statement_Pdo->_execute(Array)
#1 /home/chorachg/public_html/library/Zend/Db/Adapter/Abstract.php(464): Zend_Db_Statement->execute(Array)
#2 /home/chorachg/public_html/library/Zend/Db/Adapter/Pdo/Abstract.php(232): Zend_Db_Adapter_Abstract->query('SELECT * from c...', Array)
#3 /home/chorachg/public_html/library/Zend/Db/Adapter/Abstract.php(721): Zend_Db_Adapter_Pdo_Abstract->query('SELECT * from c...', Array)
#4 /home/chorachg/public_html/application/models/Category.php(26): Zend_Db_Adapter_Abstract->fetchRow('SELECT * from c...')
#5 /home/chorachg/public_html/application/frontend/sanpham/controllers/DanhmucController.php(16): Category->getCategory('44'')
#6 /home/chorachg/public_html/library/Zend/Controller/Action.php(513): Sanpham_DanhmucController->indexAction()
#7 /home/chorachg/public_html/library/Zend/Controller/Dispatcher/Standard.php(289): Zend_Controller_Action->dispatch('indexAction')
#8 /home/chorachg/public_html/library/Zend/Controller/Front.php(946): Zend_Controller_Dispatcher_Standard->dispatch(Object(Zend_Controller_Request_Http), Object(Zend_Controller_Response_Http))
#9 /home/chorachg/public_html/library/Zend/Application/Bootstrap/Bootstrap.php(77): Zend_Controller_Front->dispatch()
#10 /home/chorachg/public_html/library/Zend/Application.php(335): Zend_Application_Bootstrap_Bootstrap->run()
#11 /home/chorachg/public_html/index.php(33): Zend_Application->run()
#12 {main}
Request Parameters:
array (
'module' => 'sanpham',
'controller' => 'danhmuc',
'action' => 'index',
'code' => 'ky-thuat-so',
'id' => '44\'',
)
mình muốn hỏi lý do tại sao bị như vậy và cách khắc phục.cảm ơn các bạn nhiều.
(PHP Ver 5)
Vấn đề ở dòng màu đỏ đó.
Thân
|
|
|
Mình không dám nói bạn sai nhưng bạn hơi tự ti thì phải. Về bằng cấp ĐH thì nó chỉ là tiêu chí cho đầu vào dễ dàng hơn đối với người ko có và dĩ nhiên có bằng ĐH lương cơ bản cũng cao hơn một chút. Ngoài ra bạn quên là khi đã vào làm ở một cty thì các tháng thử việc cũng rất quan trọng. Nếu bạn có kinh nghiệm và kỹ năng tốt thì việc tăng lương, lên cấp cũng là chuyện sớm muộn thôi àh. Tương lai tốt hay xấu là ở mỗi người...
Thân
|
|
|
1. Bạn vào: Organize - Folder and search option.
2. Trên tab General bạn sẽ thấy 2 dòng:
*** Single-click....
***Double-click....
Cho mình 1 trong những con chuột "hư" của bạn nhé
Thân
|
|
|
1. Về cái dòng màu đỏ:
- Cái bạn đang sử dụng là một plugin của JQuery (đây là một javascript library). Vì nó là một cái plugin nên bạn ko cần phải code mà chỉ cần biết nó sử dụng như thế nào thôi.
2. Dòng màu cam:
- abc.js là một file js và trong file đó có 3, 4 functions. Ngoài ra khi bạn tạo một file js thì ko có cái <script>.
Góp ý:
1. Bạn nên tìm hiểu về javascript trước khi bắt đầu code menu.
2. Sau khi biết về javascript thì nên tìm hiểu về cái js library, rất hữu ích. Cụ thể ở đây là JQuery chẳng hạn.
Thân
|
|
|
Nếu địa chỉ email nằm trong file .php thì việc xem được email đó là không thể.
Thân
|
|
|
Mình hiểu ý bạn rồi. Điều bạn muốn chỉ có thể được khi ovi cho phép một external script thôi.
Thân
|
|
|
Mình đang xài phần mềm Roboform để đăng nhập vào các trang web. Bạn có thể download về xài và có thể nhận thấy đc thuật toán mà nó sử dụng. Thân.
|
|
|
karabi wrote:
1/ Online :
mình vô Forums & Moderators rùi add child box hay add new box cũng đều hiện lỗi này
Warning: require_once() [function.require-once]: Unable to access [path]/includes/functions_autotaggerfromcontentandtitle.php in [path]/admincp/forum.php(281) : eval()'d code on line 14
Warning: require_once([path]/includes/functions_autotaggerfromcontentandtitle.php) [function.require-once]: failed to open stream: No such file or directory in [path]/admincp/forum.php(281) : eval()'d code on line 14
Fatal error: require_once() [function.require]: Failed opening required '/home/vipteenbac/domains/vipteenbaclieu.net/public_html/9x/includes/functions_autotaggerfromcontentandtitle.php' (include_path='.:/usr/local/lib/php') in /home/vipteenbac/domains/vipteenbaclieu.net/public_html/9x/admincp/forum.php(281) : eval()'d code on line 14
đã xem code nhưng không tìm ra ... mình đã up file admincp/forum.php mới lên cũng bị như trên
2/ Test trên localhost
với localhost ( data + file y chang 4rum online ) thì add bình thường
ai biết cách fix lỗi này thì chỉ giúp em với
Về việc bạn miêu tả thì mình nghĩ trên server thư mục hoặc file functions_autotaggerfromcontentandtitle.php đã bị permission. Có thể phải chmod lại.
Thân
|
|
|
phanledaivuong wrote:
Ikut3 wrote:
Về các vấn đề mà Ikut nêu trên mình có vài thắc mắc:
+ Apply rules chống shell
(Add tất cả các file source Joomla vào 1 white list) và các file .php ở ngoài list sẽ không chạy được
- Cách này theo mình không hay bởi một lẽ nếu website có xài một vài modules, components mới thì mình lại phải add tất cả files vào cái gọi là white list hay sao ? Mà nếu website ko sử dụng joomla mà là một cái tự code thì hơi mệt.
Ha ha chính xác là mình cũng đã nghĩ vậy và nhận được lí giải sau
"Khi code thêm 1 file .php mới, yêu cầu webmaster phải có report rõ ràng cho người quản trị Server. Như vậy việc thay đổi ngoài việc được check bởi người code còn được quản trị check thêm 1 lần nữa rồi mới đưa nó vào white list để khởi chạy". Nghe có vẻ hơi cầu kì và phức tạp nhưng khi tiến hành mình thấy không nặng nề hay mất thời gian gì nhiều.
Thân !
thế nếu mà cu webmaster này muốn tấn công các site khác cùng server sẽ thay cái file php được khai báo hợp pháp bằng con shell để tấn công sang site khác thì sao? tấn công song lại edit về nội dung bạn đầu của file hợp pháp, vậy anh sẽ làm gì?
@phanledaivuong: Nếu là webmaster thì cần gì thay shell cho mệt chứ !
@Ikut3: Nếu là mình thì chắc mình không thể xài cái phương pháp đó được .
Thân.
|
|
|
Học dotnet.
|
|
|
Lúc trước do các server cấu hình kém nên mới có tình trạng local attack nhiều nhưng bây giờ mình nghĩ đã ít đi rất nhiều vì các server administrator đã có kinh nghiệm và trình độ rồi.
Về các vấn đề mà Ikut nêu trên mình có vài thắc mắc:
+ Apply rules chống shell
(Add tất cả các file source Joomla vào 1 white list) và các file .php ở ngoài list sẽ không chạy được
- Cách này theo mình không hay bởi một lẽ nếu website có xài một vài modules, components mới thì mình lại phải add tất cả files vào cái gọi là white list hay sao ? Mà nếu website ko sử dụng joomla mà là một cái tự code thì hơi mệt.
|
|
|
Ikut3 wrote:
anh gamma95 wrote:
Bản chất của việc chống local hack không phải là Disable Functions. Bởi đơn giản khi disable các functions sẽ gặp khó khăn trong việc code php cũng như thực thi nó
Bạn thử sử dụng Mod Security + Phân Quyền USer + Phân quyền Group xem sao
Code kỹ + những điều trên là đủ .
Thân.
|
|
|
Chào mọi người,
Nếu ai rành về ZC và PHPLD thì có thể liên hệ với mình để thực hiện dự án mà mình đã nêu trong tiêu đề (Integrate Zen Cart with PHPLD). Chi phí cho việc này là 2tr5. Ai thích thì liên hệ nhé.
mail: cvhainb@gmail.com
Thân,
|
|
|
beta14 wrote:
Giải pháp bạn đưa ra khá flexible , nhưng bạn lại chưa hiểu vấn đề chính mà tôi muốn đưa ra. Thay đổi user_auth chỉ là 1 ví dụ nhỏ, như bạn đã nêu, tính toàn vẹn phải được giữ để nếu có bị thay đổi username hoặc password thì cũng không thể chiếm được tài khoản cấp cao.
Ví dụ như tôi thấy forum hva có tài khoản tên là quanlytruong. Nếu ngày nào đó MySQL bị lỗi có thể bị khai thác. Với cấu trúc database của JForum thì hoàn toàn có thể chiến tài khoản cấp cao đó để phá hoại forum. Vậy người modify JFroum cho HVA có đảm bảo được tính toàn vẹn đó không?
Có phải bạn hỏi là: Không được thay đổi cấu trúc, dữ liệu từ phpMyAdmin ? Nếu đúng thì vấn đề của bạn là bất khả thi vì một khi đã vào được phpMyAdmin thì mọi cái đều có thể rồi. Cái chính là cái account đăng nhập vào phpMyAdmin là loại nào thôi.
Còn nếu người chiếm quyền biết khá chi tiết về cái db đó thì mọi việc lại càng dễ dàng.
Thân
|
|
|
Cám ơn xnohat rất nhiều.
|
|
|
Thanks xnohat,
Cho mình hỏi thêm một câu là khi mình đăng ký xong họ có cho mình một document để đọc ko ?? Nếu trong quá trình làm việc có vấn đề liệu bên viễn thông có người hỗ trợ ko ?
Thân
|
|
|
Mình có một thắc mắc về SMS gateway muốn hỏi tất cả mọi người trong hva, nếu ai biết xin hướng dẫn giúp:
1. Khi đăng ký sử dụng SMS gateway họ có hướng dẫn gì cho mình, và sau khi đăng ký họ sẽ gửi những thông tin gì cho mình.
2. Ví dụ mình có một cú pháp sms: diem 100 và gửi tới số 9999. Vậy sau khi gửi thành công thì bên SMS gateway có gởi trả lại cho mình gì ko (vd một string chẳng hạn).
Thân
|
|
|
Mình đã làm nhiều với thư viện GD trong PHP, theo mình thì ko thể làm xén một khung hình transparent với PHP được.
Thân .
|
|
|
Đã làm được tất cả rồi. Cám ơn mọi người nhiều nhé.
|
|
|
Mình có một câu hỏi nữa muốn hỏi là trong J 1.5 làm sao tắt được chức năng publish của group author nhỉ ? Ko có rành J lắm, hix.
|
|
|
Nếu làm giống cái giao diện như trang web tớ đưa thì phải chỉnh lại trong cỏe acl của joomla hả canh_nguyen ? Và mình set được quyền cho user bình thường post được ko ? Mình ko xài joomla lâu ròi mà cũng ko có thời gian mày mò lắm nên hỏi. Nếu ko có components nào hỗ trợ cho việc này thì chắc phải code rồi.
Cám ơn nhiều nhé !.
|
|