Задать вопрос
  • А правильно ли я перенаправляю пользователя на оплату?

    примерно так и организована работа шлюзов на 99% магазинов
    зы. <? лучше не писать, а использовать правильное <?php
    Ответ написан
    2 комментария
  • Неверный расчет PHP. Как такое возможно?

    GavriKos
    @GavriKos
    if($totalItems >= 1000) пробовали менять на if($totalItems >= 1000.0) ?

    Или даже лучше разницу флоатов проверить, и с погрешностью сравнить.
    Ответ написан
    5 комментариев
  • VPS XEN. Как спрятать демон от админов?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Вообще лучше бы свалить к другому хостеру =) Который не страдает такой фигней.

    А по сабжу - проверить, что админы не имеют доступа к машине (нет лишних ssh-ключей, сменен пароль). Убрать прокси за iptables.
    Ну и проверить, что у вас вообще Xen, а не openvz. Снаружи виртуалки Xen админ не должен видеть, что у вас в ней запущено. Только по ssh/сканированием по сети.

    Впрочем, это не отменяет того, что администратор VPS всегда может выключить вашу виртуалку и получить доступ к её файлам. А на чтение - так и вообще без выключения.
    Ответ написан
    Комментировать
  • Чем опасна Blind SQL injection?

    Rsa97
    @Rsa97
    Для правильного вопроса надо знать половину ответа
    Blind означает лишь то, что результат инъекции не отображается на странице. При этом всё равно существуют методы, позволяющие при удаче авторизоваться не зная пароля, например такой конструкцией:
    http://my.site/login.php?name=user' OR TRUE OR '1'='1&password=

    Если запрос на авторизацию к базе выглядит так:
    "WHERE `user` = '".$_GET['name']}."' AND `pass` = '".md5($_GET['password'])."'"

    то он преобразуется в
    WHERE `user` = 'user' OR TRUE OR '1'='1' AND `pass` = 'd41d8cd98f00b204e9800998ecf8427e'

    результат вычисления будет TRUE для любого пользователя и пароля.
    Кроме того, можно разрушить саму базу, выдав команды DROP TABLE или DROP DATABASE
    Ответ написан
    Комментировать