print_r($product) enthält Datenbank name und kennwort? (commerce)
Eingetragen von patrici (107)am 02.11.2015 - 15:16 Uhr in
Hallo, mir ist das grad zufällig aufgefallen. Ist das normal oder hat sich da ein Modul möglicherweise ne backdoor eingerichtet?
Es sind nur 4 commerce Module installiert: Product urls, product pricing attributes, product attribute, commerce option.
- Anmelden oder Registrieren um Kommentare zu schreiben
Hi, ich tippe auf eine PHP
am 03.11.2015 - 09:45 Uhr
Hi,
ich tippe auf eine PHP Code Injection.
print_r($product);
Hat der User der welcher den Inhalt $product erstellt hat,
Zugriff auf den PHP Filter (In admin/modules)?
Dann kann er das DB Passwort nämlich auslesen.
MfG
Robert
Also mit $product mein ich
am 03.11.2015 - 10:04 Uhr
Also mit $product mein ich den array der durch commerce_product_load($product_id); erstellt wird. Die Seite ist derzeit nicht veröffentlicht und nur ich bearbeite sie.
Hat der User der welcher den Inhalt $product erstellt hat,
Zugriff auf den PHP Filter (In admin/modules)?
Dann kann er das DB Passwort nämlich auslesen.
Das ist mir Klar und es wird natrlich kein User zugriff auf den PHP filter haben.
Viel mehr interresiert mich was die Daten da zu suchen haben? es kann ja eigentlich nur von ein Modul kommen oder direct von drupal commerce so gedacht sein was ich aber bezweifle?
Welche Drupal Version ist
am 03.11.2015 - 11:09 Uhr
Welche Drupal Version ist das?
War die Seite mal online?
Wenn ja,dann könnte Code auch von ausserhalb eingeschleust worden sein.
Gruss
Robert