[kullervo]

Om man söker på "ssu.se mysql_connect" på Google så får man upp root-lösenordet för ssu.se's mysql-server. Burken är inte heller brandväggad.

Det vore kul om någon orkade blåsa upp det här på någon löpsedel för att ännu en gång påpeka hur dålig datasäkerhet vänstersidan kan ha.

[hubbert]

Jaså men det är nog bara en öppnad syltburk. De sitter 24/7 och kollar Ip-nummer och väntar...

[jimmie]

http://www.idg.se/2.1085/1.76762

Edit:

Om man tittar på den catchade sidan så ser man koden:

mysql_connect("213.204.177.242","root","optww729f" ); mysql_select_db("ssu",$db); /* include("include/initvar.inc"); include("include/session.inc"); include("include/mainfunc.inc"); */ if(!isset($_GET[id])) { $id = 0; } else { $id = $_GET[id]; } $lvs_sql = "SELECT im_data, im_type FROM t_ssuimg WHERE im_id = '".$id."'"; $lax_result = mysql_query($lvs_sql, $db); while($row = mysql_fetch_object($lax_result)) { $type = $row->im_type; $buf=$row->im_data; } // $lax_row = mysql_fetch_array($lax_result); Header("Content-type: Image/GIF"); echo($buf); flush(); exit; ?>


Härligt att man inte kontrollerar inmatningar i koden...

[hnn]

Finns ingen MySQL server på det ip numret att ansluta till :/

[Danski]

http://aftonbladet.se/vss/nyheter/st...887132,00.html

[Oskar Lindgren]

Citat:

Originally posted by jimmie@Sep 13 2006, 12:03
Härligt att man inte kontrollerar inmatningar i koden...

De kanske kör med magic quotes, och litar stenhårt på det