登入 註冊
 

如何強化 ec shop 資料庫安全
閱讀 4062 次 0 會員 與 1 訪客 正在閱讀本文。
八月 01, 2011, 03:55:17 下午
 如何強化 ec shop 資料庫安
 ec shop 2.50
資料庫曾經遭受參數注入攻擊,不過那是2.50的事情了,安全漏洞是利用在網址後輸入 “user.php?act=order_query&order_sn=’ union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/*”這樣一句代碼就可以讀出網站資料庫中的管理員帳號和密碼。
有些人唯恐天下不亂,硬是要拿此大作文章,只為達到自己商業目的,而捏造事實的說法,卻暴露了自己的技術有問題,連這樣的事情都不知道防範,還敢收學員賺錢,這簡直是天大的笑話,事實上所有開放原始碼的軟體,都會有這樣的安全漏洞, ec shop 不是第一個,因為原始碼攤在陽光下,任何人都可輕易取得,有心人士要入侵自然有機會。
 
 不只是 ec shop ,很多程式在安裝時都有前綴的設定,但是很多人都用預設值,以 ec shop 來說,預設的前綴是ecs_,如果你在安裝時更改這個前綴,相對安全性就提高很多,這個前綴不要太簡單,可以包含大寫、小寫、特殊字元的混合,像 「[4l%9Q3]_」,就算駭客要猜,恐怕也要花很多時間,基本上,程式提供了這樣的功能,是自己不會用,怎麼能把他和政治搞在一起呢?
不管你是用什麼網站程式,只要程式有提供前綴的設定功能,在安裝時就應該要修改,不要使用預設。已經裝好且運作中的網站,也可以進行修改,底下以 ec shop 為例子,其他程式大同小異,請自行參考:
1、找個空檔到後台關閉網站
 
 2、進入PhpMyAdmin備份資料庫,複製一份存檔
 
 3、刪除所有資料表
 
 4、用文字編輯器開啟備份檔(.sql)取代所有ecs_並存檔
 
 5、導入修改過的SQL
 
 
 6、打開data/config.php修改前綴資料庫一樣,存檔,完成!
 
 

記錄

* 八月 14, 2012, 02:12:02 下午
#1
進入PhpMyAdmin備份資料庫時,最底下出現這一段提示:
------------------------------------------------------------------------------
(1) This value is interpreted using strftime, so you can use time formatting strings. Additionally the following transformations will happen: __SERVER__/伺服器名稱, __DB__/資料庫名稱. Other text will be kept as is.
---------------------------------------------------------------------------------
直接按執行會有什麼影響嗎?

記錄

八月 14, 2012, 02:19:07 下午
#2
沒碰過這問題
不過應該和主機有關
問主機商看看



記錄

* 八月 14, 2012, 02:28:14 下午
#3
是本機的資料庫
不是主機商的

記錄

八月 14, 2012, 03:03:29 下午
#4
若不是虛擬主機
那應該是你安裝phpmyadmin或設定有問題
你可以嘗試備份和還原資料庫
若是操作正常就沒問題
否則應該找出問題...

記錄

* 八月 14, 2012, 04:20:35 下午
#5
請問
資料庫輸出備份後,重新載入時要先將原來的資料先清除在載入嗎?
或是直接載入就會自動覆蓋

記錄

八月 15, 2012, 10:09:58 上午
#6
若是網站已經開駛運作
最好另開一個測試站
以防萬一

操作方法請參考電子書

記錄

* 八月 15, 2012, 11:15:10 上午
#7
不同版本的資料庫匯出與載入會有影響嗎?
我本機的MySQL 版本: 5.0.45-community-nt-log
無法上傳到虛擬主機的 MySQL 版本:4.1。
請問有什麼方法可以上傳?

記錄

八月 15, 2012, 01:41:35 下午
#8
不會吧?
虛擬主機還用mysql4.X
趕快換家吧!

記錄