Kontrola PHP kódu

[Pavel. P.]

Ahoj, koupil jsem program v PHP, vše funguje OK ale potřeboval bych zjistit, zda tam není nějaký backdoor. Můžu to nějak zjistit ? Souborů nění moc, tak že kdybych věděl co hledat určitě bych to našel. Poradí někdo ? Děkuji

[Reklama]

[e3k]

na zaciatok mozno skontrolavat vsetky subory ktore primaju GET a POST premenne?

[Lol Phirae]

Ahoj, koupil jsem program v PHP ... potřeboval bych zjistit, zda tam není nějaký backdoor.

To brzo!!! 

[Kit]

Doporučuji nechat si udělat bezpečnostní audit od.nezávislé firmy.

[Pavel. P.]

Zase byla ruka rychlejší než mozek.. Chtěl jsem napsat "stáhnul jsem program"  ne, že jsem ho koupil...

[Reklama]

[Pavel. P.]

Doporučuji nechat si udělat bezpečnostní audit od.nezávislé firmy.

Třeba u tebe ?

[Snow]

Zase byla ruka rychlejší než mozek.. Chtěl jsem napsat "stáhnul jsem program"  ne, že jsem ho koupil...

tak šup sem link...

[Pavel. P.]

  http://www.frech.ch/online-bookmarks/

[Kit]

Doporučuji nechat si udělat bezpečnostní audit od.nezávislé firmy.

Třeba u tebe ?

Pokud je ta otázka myšlena vážně, tak mi napiš na kit.saels (at) gmail.com. Domluvíme se.

[yemanresuy]

Větší problém, než backdoor, bych viděl v tom, že to není už přes 7 let udržované.
Spousta věcí (letmým pohledem do kódu) už je nějakou dobu označeno deprecated (např. mysql_connect).
Záleží, na co to chcete použít.

[karel2]

Nasel jsem tam dost sql injection

[Kit]

Nasel jsem tam dost sql injection

Jsou tam, ale z velké části jsou ošetřeny funkcí $mysql->escape(). Píši "funkcí", protože $mysql jako objekt moc nevypadá. Bohužel je to uděláno tak nešikovně, že není na první pohled vidět, co ošetřeno je a co není. Číselné hodnoty jsou chybně ošetřeny jako stringy. Funkce sprintf() se prostě na lepení SQL dotazů moc nehodí a ten zastaralý ovladač MySQL už také patří na smetiště.

[Pavel. P.]

Patrně se s tím nemá cenu zabývat. Nezná někdo něco takového a lépe napsaného ? Kolik by to tak mohlo stát nechat si to napsat pořádně ? Děkuji

[Kit]

Patrně se s tím nemá cenu zabývat. Nezná někdo něco takového a lépe napsaného ? Kolik by to tak mohlo stát nechat si to napsat pořádně ? Děkuji

Pokud se ti ten program líbí, může stačit jeho lehký refactoring, při kterém zmíněné chyby prostě zmizí. Původně ses ptal na backdoory, na ty jsem zatím nenarazil. Co by z toho také autor měl, kdyby ti lezl do tvé implementace své aplikace? Že by ti tam vsouval reklamy?

[Pavel. P.]

Pokud se ti ten program líbí, může stačit jeho lehký refactoring, při kterém zmíněné chyby prostě zmizí.

Kdybych do toho chtěl něco vrazil, asi bych si to nechal napsat znova, čistě v php a html, žádné JS. Navíc je mi tam třetina věcí k ničemu a nějaké drobnosti tam zase postrádám. Jak jsem se již ptal, otázkou je, kolik zlaťáků by to stálo

Původně ses ptal na backdoory, na ty jsem zatím nenarazil. Co by z toho také autor měl, kdyby ti lezl do tvé implementace své aplikace? Že by ti tam vsouval reklamy?

To asi ne, ale i když proč ne.. ale třeba je to výhoda mít nainstalovaný program svůj program na x-tisících serverech, využít se to dá jistě jakkoliv.