https://www.opennet.ru/openforum/vsluhforumID3/105161.html Представлен (https://www.joomla.org/announcements/release-news/5634-joomla-3-4-5-released.html) внеплановый корректирующий выпуск системы управления контентом Joomla 3.4.5, в котором устранена критическая уязвимость (http://developer.joomla.org/security-centre/628-20151001-core-sql-injection.html), позволяющая осуществить подстановку SQL-запроса, путем отправки специально оформленного неаутентифицированного обращения. Проблема проявляется во всех выпусках, начиная с Joomla 3.2. Пользователям рекомендуется срочно обновить свои системы.<br><br><br>URL: https://www.joomla.org/announcements/release-news/5634-joomla-3-4-5-released.html<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=43186<br> https://www.opennet.ru/openforum/vsluhforumID3/105161.html#29 Sun, 25 Oct 2015 19:14:26 GMT &gt; Для начала просто делать prepare + биндинг параметров, везде <br><br>Это просто факт, не требующий обсуждения.<br><br>Я же немного о ином. Гарантировать отсутствие ошибок невозможно в принципе. Не будет своих, так нарвёшься на дыру в php (раз уж Joomla на нём писана), или в веб-сервере, или в libgd или lib*sqlclient каком-нибудь... Но почему, например, возможность исполнения произвольного (php-)кода на сервере автоматом тянет за собой доступ ко всей БД (притом не только на запись, но и на alter/create/etc)?<br>Вот это-то мне и не ясно.<br> https://www.opennet.ru/openforum/vsluhforumID3/105161.html#28 Sun, 25 Oct 2015 19:04:49 GMT &gt; Пользователю вообще доступ к БД незачем. <br><br>Ну вот реальность вновь и вновь доказывает, что находятся, хмм, интересующиеся. И возможности изыскивают.<br><br>&gt; А вот скрипту, который его авторизует, неплохо бы свериться с вышеупомянутой таблицей.<br><br>Неплохо.. Ну, это субъективно.<br>Но можно, например, дёрнуть функцию из БД (передав ей логин и пароль) из-под роли, которой разрешён доступ лишь к этой одной функции. А она уже может и роль новую вернуть.<br><br>Повторюсь - зачем скриптам иметь полный доступ к БД?<br> https://www.opennet.ru/openforum/vsluhforumID3/105161.html#27 Fri, 23 Oct 2015 21:50:11 GMT Обновляя и повышая безопасность и ускоряя джумлы.<br>Ещё можно бэкапы настроить.<br> https://www.opennet.ru/openforum/vsluhforumID3/105161.html#26 Fri, 23 Oct 2015 21:12:59 GMT Для начала просто делать prepare + биндинг параметров, везде<br> https://www.opennet.ru/openforum/vsluhforumID3/105161.html#25 Fri, 23 Oct 2015 20:10:56 GMT Классно, можно бабло грести обновляя это, а если бабулетки не башляют, то пусть им шматуют базу в капусту, так им и надо жадинам )))<br> https://www.opennet.ru/openforum/vsluhforumID3/105161.html#24 Fri, 23 Oct 2015 20:07:05 GMT &gt;&gt; Ну-ка, ну-ка, уважаемый. Подскажи чем же нам пользоваться?<br>&gt; Например, теми же Drupal/TYPO3. А php отчасти купируется mod_security, только настраивать <br>&gt; его бермуторно...<br><br>Да и вообще нужно переходить на статические сайты<br> https://www.opennet.ru/openforum/vsluhforumID3/105161.html#23 Fri, 23 Oct 2015 20:05:41 GMT &gt;&gt; Ну-ка, ну-ка, уважаемый. Подскажи чем же нам пользоваться?<br>&gt; Например, теми же Drupal/TYPO3. А php отчасти купируется mod_security, только настраивать <br>&gt; его бермуторно...<br><br>А почему не жанга?<br> https://www.opennet.ru/openforum/vsluhforumID3/105161.html#22 Fri, 23 Oct 2015 20:01:56 GMT TYPO3 нужно долго изучать<br> https://www.opennet.ru/openforum/vsluhforumID3/105161.html#21 Fri, 23 Oct 2015 14:08:39 GMT Пользователю вообще доступ к БД незачем. <br>А вот скрипту, который его авторизует, неплохо бы свериться с вышеупомянутой таблицей.<br>