В админке лежит файл с странным содержанием
<php
<p>
<p>bd_host = "localhost"; // хост
<p>bd_user = "wgehbesrvg"; // логин
<p>bd_password = "YUFSXd4217HNqbuJ"; // пароль
<p>bd_base = "wstyjgw"; // БД
</p>
$con = mysql_connect( $bd_host, $bd_user, $bd_password ) or die( 'База данных перегружена' );
mysql_select_db( $bd_base, $con );
mysql_query( "set names cp1251" );
include_once ROOT_DIR . '/engine/function.php';
<php
не уязвимость ли? как то данные в открытом доступе вроде...
Halking, еси открыть "просмотреть код страницы" то данные базы в открытом доступе( 
Этот код вообще работать будет только как HTML
XSS - это вывод данных пользователя без фильтрации.
то бишь мои данные
<p>
<p>bd_host = "localhost"; // хост
<p>bd_user = "wgehbesrvg"; // логин
<p>bd_password = "YUFSXd4217HNqbuJ"; // пароль
<p>bd_base = "wstyjgw"; // БД
</p>
увидит любой желающий
Ну так убери это из кода. Это HTML код и он естественно будет виден пользователю.
Если это используется ввиде комментария, то должно соответствовать синтаксису.
<?
/*
Комментарии
*/
echo 'Код';
?>
запрети через .htaccess доступ к директории с этим файлом
Добавлено 12.11.16 в 13:03:10:
или как сказали выше, данные бд пиши в <?php ?>
- 1 из 1
