Где сохраняются пароли если нет php файлов?

Question

[Deka007]

Здравствуйте, скажите пожалуйста где и как могут храниться пароли и логины к примеру этого сайта new.kcup.tusur.ru/user . Интересуюсь темой sql injection , но не могу понять , на этом сайте к примеру я не нашел ни одного файла связанного с php или какой нибудь базы данных типо mysql , следовательно вопросы, а как он сохраняет пароли и логины , куда сохраняет и может ли такой сайт подвергнуться sql инъекции? Вопрос чисто в познавательных целях , никакой вред в дальнейшем причинять не собираюсь.

Comments

[Hyubert]

Все храниться на сервере, к нему доступ Вы не можете получить. Про sql инъекции это почитайте - https://habrahabr.ru/post/148151/

[Андрей Голубков]

Учусь на этой кафедре :) Интересно зачем же вам понадобилась sql инъекция на сайт кафедры...

Answer 1

[axblue]

Как это sql инъекция может быть если не используется mysql вы говорите?) И да, всё там есть, с чего вы взяли что там нету php скрипта?) Как вы сделали вывод что там нету php мне интересно?

Comments

[Deka007]

просмотрел коды элемента страницы , увидел только js css , но потом вспомнил что при авторизации по любому должен быть файл php с методом get или post , просто не могу увидеть его или найти его . Как вы определили что там есть php скрипт , по мимо того что он cms drupal. допустим если бы вы не знали что он на cms или про авторизацию не знали бы тоже то как бы вы проверили есть ли у него php скрипты?? ( для саморазвития интересно)

[Deka007]

axblue: Это я видел , в кодах элементах страницы. меня больше интересовал вопрос почему нигде нет php файлов, они получается скрыты что ли от левых глаз? А так же в адресной строке браузера когда просматриваешь страницы нет ни одной дорки к примеру index.php?id= .

[axblue]

Deka007: собственно форма отправляется методом post на адрес /user (action="/user")

<form action="/user" accept-charset="UTF-8" method="post" id="user-login">

Дальше php обрабатывает. php скрипты вы никак и не увидите через браузер... вы что..)

[axblue]

Deka007: В момент, когда пользователь видит перед собой страницу и начинает совершать какие-то действия с ней, PHP уже завершил работу! И пользователь взаимодействует не с PHP скриптом, а со своей страницей HTML, которую он получил в браузер. Результатом работы скрипта на PHP в большинстве случаев является обычный текст. Текст HTML страницы. Которая отдается браузеру и показывается им, как обычный HTML. Вы сами можете в этом убедиться, написав в скрипте
<? echo "Привет, <b>Вася!</b>"; ?>;
А потом просмотрев в браузере исходный текст полученной страницы. Никаких тегов PHP там нет! Только
Привет, Вася!
Потому, что PHP исполняется на сервере!
Всё что могу сказать, учите матчасть.

[axblue]

Deka007: а на счет .php, загуглите как убрать php расширение из адресной строки - это только пример, дальше объяснять не буду, дальше только сложнее, если этих основ не знать.

[Deka007]

axblue: "а на счет .php, загуглите как убрать php расширение из адресной строки - это только пример, дальше объяснять не буду, дальше только сложнее, если этих основ не знать" вот это что я хотел узнать , что оно скрыто расширением... наконец то спасибо.

[axblue]

Deka007: И да, расширение это вовсе не путь к файлу php - это к слову. В фреймворках это например адрес по которому будет вызываться какая-то функция-это объясняя на пальцах

[Степан Крапивин]

более того, можно с лёгкостью сделать так, чтобы отдавалась страница с адресом example.com/index.php но генерировать её будет совсем не php, а, к примеру python ;-)

Answer 2

[ThunderCat]

Учиться неохота, а зачет по информатике нужен? Купите наши курсы по sql injection и забудьте о несданных экзаменах! Все что вам нужно - найти php и mysql в коде странички! Спешите, только сегодня за уникальную цену - $9,99! Невежество и лень в подарок!

PS:

информация о sql инъекциях на просторах интернета на таких сайтах как Habrhabr и webware рассчитана на лохов .
или же тема о инъекциях специально раскрывается не полностью...

пил чай - засрал монитор, перепугал кота... )))

Comments

[Deka007]

смешно , но до юмора вам далеко...

[Deka007]

вроде как писал курсовую по mysql. базу данных создавал , но почему то в sql инъекциях тяжело разобраться. select, union , order by обычные основы. но почему то именно при инъекциях где то что то не договаривается.... точнее умалчивается ( я про сайты habrhabr и т.п.) поэтому и написал то от чего вы "засрали монитор"

Answer 3

[entermix]

на этом сайте к примеру я не нашел ни одного файла связанного с php или какой нибудь базы данных типо mysql

С чего Вы взяли? С каких пор Drupal работает без PHP?

Интересуюсь темой sql injection

Рановато

Comments

[Deka007]

да возможно рановато не спорю , просто начитался разной информации по sql инъекции и т.п. , сильно заинтересовало , но почему то везде описаны примеры с дорками вроде index.php?id= , item_id= , :news.php?catid= , но ничего подобного именно на этом сайте я не встретил , сделав выводы:
а) все что в адресной строке как то хорошо зашифровано или написано умно
б) неужели там нет php файлов , хотя такого быть не может.
г)информация о sql инъекциях на просторах интернета на таких сайтах как Habrhabr и webware рассчитана на лохов .
в) или же тема о инъекциях специально раскрывается не полностью...

[Deka007]

за расстановку букв извиняюсь)

[entermix]

Deka007: Если Вы не видите .php - это вовсе не значит, что там его нету, если бы Вы изучили какую то CMS, или фреймворк, например, такие вопросы отпали бы.

Answer 4

[Олег]

Расширения можно удалить вовсе из адреса либо подменить.Так что там все есть))
Темболее это друпал.
следовательно php

Answer 5

[aleksey_komyakov]

Лет 10 назад тоже изучал скуль-уязвимости... И просто совет, начните с того как работаех PHP, потом перейдите к работе MySQL и потом ищите уязвимости... Будет проще разбираться...
А как разберетесь, то уже можете искать дыры в Друпале, но сначала почитайте как у него с безопасностью...