Título: PHP visibilidad de codigo? Publicado por: lilyei en 23 Octubre 2019, 02:01 am Tengo esta duda alguien que es muy bueno y hackea mi pagina es posible que pueda ver el mi codigo php? :-(
Título: Re: PHP visibilidad de codigo? Publicado por: engel lex en 23 Octubre 2019, 02:12 am depende de que hackeo sea...
- si entra al servidor (ej: ssh o ftp), verá todo lo que tu puedas ver... - si logra subir y ejecutar un .php (usualmente le llaman "shell") hecho por el igualmente... - si logra una inyeccion SQL no, solo podrá ver/alterar el contenido de la base de datos * - si logra inyectar un js, no - un xss, no - una publicidad maliciosa, no** y en general son mas no, que si aclaratoria: * por eso es importante el usuario de la db que use el php limitarlo a por ejemplo solo hacer las 4 operaciones basicas, select/update/insert/delete, si el usuario sql tiene todas las opciones podrá incluso borrar tablas. si a demas es un usuario con los permisos de grant y execute (como es root), estamos entonces en el primer caso (entró al servidor ya que puede ejecutar comandos de consola) ** a menos que te robe la contraseña de administrador en el panel de login Título: Re: PHP visibilidad de codigo? Publicado por: @XSStringManolo en 23 Octubre 2019, 07:53 am Hay gente que usa el mismo correo para gihub en el que publica su código PHP que el de admin de la web :laugh:
Título: Re: PHP visibilidad de codigo? Publicado por: lilyei en 25 Octubre 2019, 00:16 am depende de que hackeo sea... Me quedo muy claro se agradece tu respuesta- si entra al servidor (ej: ssh o ftp), verá todo lo que tu puedas ver... - si logra subir y ejecutar un .php (usualmente le llaman "shell") hecho por el igualmente... - si logra una inyeccion SQL no, solo podrá ver/alterar el contenido de la base de datos * - si logra inyectar un js, no - un xss, no - una publicidad maliciosa, no** y en general son mas no, que si aclaratoria: * por eso es importante el usuario de la db que use el php limitarlo a por ejemplo solo hacer las 4 operaciones basicas, select/update/insert/delete, si el usuario sql tiene todas las opciones podrá incluso borrar tablas. si a demas es un usuario con los permisos de grant y execute (como es root), estamos entonces en el primer caso (entró al servidor ya que puede ejecutar comandos de consola) ** a menos que te robe la contraseña de administrador en el panel de login |