※ 引述《williamsydu (william)》之铭言： : 刚刚发现到 : 在目录内多了一个php档案 : 把那个档案打开来看 似乎是针对mysql的漏洞 : 来加以控制资料库 : 程式开头是 : $PASSWORD = "tryag_vb"; : $USERNAME = "102030"; : 刚用google找了一下 感觉很多主机都中奖了 : 请问一下有人知道这个漏洞吗? 谢谢 我公司也被放过SPY的档案 所以请好好检查所有网页有上传程式的地方 格式..大小..副档名...该判断的都要判断 再来就是这些页面是不是需要帐号密码或是COOKIE进来的 如果不用要想办法不要让别人容易连进来 要挡之类的..... 但是如果是模拟网域...那就没办法了 另外就是register_globals有开启的话请关掉 所有变数都要经过编码过...例如 htmlspecialchars 基本的防骇要有 剩下的就靠代管端罗 或是自行提高安全机制 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 111.240.129.159