Adamos, тссс! Не нужно мешать человеку развлекаться
Он сейчас нагромоздит себе ради трех страничек небольшое CI, только потому что очень сложно написать apt install php :-D
ShweDok, хорошо, я соглашусь, что phpMyAdmin - это графический клиент БД для нищебродского сервера системы два неграмотных школьника сделали хостинг на мамкином компьютере. Такая ниша ему вполне подходит.
При этом на всех нормальных хостингах SSH разрешён, тупо потому что самому же хостеру меньше головной боли из-за утекших паролей, плюс он по умолчанию поддерживается всеми панельками.
А про неочевидность вас опять обманули. Все настройки вполне наглядные, настроить доступ по SSH не сложнее, чем колупаться в дебрях config.inc.php.
Drno, я согласен с тем что мотивация за зеленые галочки - это так себе. Но здесь скорее дисциплинарный момент. Суть не в галочке, а элементарной вежливости. С которой у автора вопроса большие проблемы.
Если бы сoобщения об ошибках были на нормальном IT языке, можно было бы их хотя бы погуглить.
Но даже по этим находится ответ здесь же на qna. Вы его пробовали?
Артур, то есть вы даже не понимаете, что здесь, нет ни ваших ваших "подготовленных функций", ни "админов". А только код. Который является однозначно вредоносным (и притом бессмысленным: даже если данные были "подготовлены по фукциям", нет ни малейшего смысла добавлять их в запрос вразнобой, если уж библиотека поддерживает подстановку через плейсхолдеры).
Причём если даже следовать вашей логике (изначально кривой, но сейчас не об этом), то скорее это заведомо целочисленный id может быть "подготовлен" заранее, чем содержимое $b, которое может представлять любое значение для любого поля. Но при этом id попадает в запрос нормально, а $b - нет. Весь этот код - один сплошной анекдот для тех кто понимает.
Хотя бы покажите мои замечания тем, кто разбирается. Возможно, помимо исправления этого анекдота, они даже сподобятся убрать инъекцию через имя поля.
Проблема этого сайта отнюдь не в кураторах.
А в незнайках, которые пишут неграмотный код, и потом вертятся как ужи на сковородке, лишь бы не признавать его кривизну, рассказывая про каких-то админов, перекладывая на них ответственность за свой кривой код :)
Елена, объясните толком, что значит "пытается зайти по адресу сервера". Почему вас это удивляет?
Ещё раз: Putty не спрашивает у вас логин и пароль. Задача этой программы именно в том в том, чтобы "зайти по адресу сервера". А уже сервер у вас запрашивает логин (если вы его не указали вместе с хостом) и пароль.
Запустила. Ввела логин, потом пароль. Он выдал предупреждение
Только наоборот - сначала Putty вывел предупреждение, а потом сервер запросил логин и пароль.
Елена, объясните толком, что значит "подставляет неверные данные"? Путти не сохраняет пароли. Если речь не про пароль, а про логин, то вы его написали перед именем хоста через собаку, вот так
elena@192.168.1.100
загрузите сохранённое соединение и отредактируйте поле с хостом, подставив в него другое имя
Опять вы почему-то говорите о чём угодно, только не про код. Теперь про каких-то админов.
Вы реально не в состоянии прочесть две строчки кода, которые сюда откуда-то скопипастили?
Речь не про каких-то админов. А про очевидно бессмысленный и небезопасный код, который одно значение передаёт нормально, а второе напрямую в запрос
$sql = "UPDATE {$this->table} SET $a = '$b' WHERE id = ?";
$this->query($sql, [$id]);
Если так хочется посмеяться, то посмотрите на свой позорный код. Но вы, судя по всему, даже не понимаете, что в нём не так. И что он должен быть написан по-другому:
$sql = "UPDATE {$this->table} SET $a = ? WHERE id = ?";
$this->query($sql, [$b, $id]);
Чтобы быть логичным и предотвращать хотя бы очевидные инъекции. При этом всё оставаясь уязвимым, но это уже второй вопрос.
Он сейчас нагромоздит себе ради трех страничек небольшое CI, только потому что очень сложно написать apt install php :-D