[patrikweb]

Kör dom php normalt så körs alla användare under apache användare och betyder utan safe_mode så spelar det ingen roll. Så ska apache kunna läsa/köra filen så kan även alla andra användare göra samma sak.

[basse]

Citat:

Originally posted by grazzy@Jul 25 2006, 23:46
Det där har väl inget med phps safe_mode att göra.. det är ju felaktiga användarrättigheter om han kan köra fopen() på en annan användares fil. Ta bort 777 från config.php och ändra lösenordet. Skrämmande låg nivå på unixkunskaperna här hos vissa...

Det är 755 på config.php

[Bladet]

du kör väl med senaste phpbb? gick ju ganska enkelt att hacka sig till forumadmin i äldre versioner.

fast det låter ju inte riktigt som ditt problem dock...

[Westman]

Citat:

Originally posted by grazzy@Jul 25 2006, 23:46
Det där har väl inget med phps safe_mode att göra.. det är ju felaktiga användarrättigheter om han kan köra fopen() på en annan användares fil. Ta bort 777 från config.php och ändra lösenordet. Skrämmande låg nivå på unixkunskaperna här hos vissa...

Öh, visserligen är Windows min grej men sist jag kollade på apache så var det så att webben kördes under apachekontot. Det räcker ju med läsrättigheter för att kunna använda fopen på det sättet. Eller?

[jonny]

safe_mode är väl vettigaste lösningen.
Det är bara illa skriven kod som inte fungerar med safe_mode aktiverat ändå.

[Kihlbom]

Är det bara jag som inte blir förvånad? Jag menar, du betalar 12kr/mån. Man får vad man betalar för.

Byt hotell så kommer det säkerligen inte uppkomma igen.

[foks]

Safe_mode är alltid aktiverat hos B-One, det går inte heller att stänga av själv. Och jag har testat och konstaterat att det inte är möjligt att öppna andras filer med hjälp av phpscript.

[ctor]

Du kan för övrigt också räkna med att:

*Han känner till ditt lösenord till b-one (tekniskt sett är det databaslösenordet som lagras i config.php)
* Han har lösenordet för ett stort antal av användarna, eftersom phpBB använder sig av MD5-summor utan någon slump för att lagra lösenordsinformation går de att ge sig på med regnbågstabeller. Alla lösenord upp till 7 tecken som inte har märkliga tecken som åäö i sig är knäckta, och troligen en del till.

De enda som kan göra något för att det inte skall hända igen är b-one, men även efter de gjort sitt så behöver du alltså ändra både ditt lösenord samt alla användare behöver ändra sina.

[empty]

Eftersom han berättade felet för dig tror jag inte han hittat på så mycket..

[Wojt]

Citat:

Originally posted by basse@Jul 25 2006, 21:57
Finns det något jag kan göra för att förhindra honnom från att sno mina lösenord?

Skaffa ett riktigt webbhotell.