从主题文件中获取数据库凭据

时间:2018-12-30 作者:Dan W.

我有一个自由职业者为我做一个项目。

我让他通过FTP访问主题文件夹。他上传了phpMiniAdmin 并以某种方式获得了数据库凭据,然后他使用这些凭据登录。

他是如何获得这些证书的?是否存在可以在将文件上载到服务器后使用的漏洞?

2 个回复
最合适的回答,由SO网友:Krzysiek Dróżdż 整理而成

他所需要做的就是将此PHP代码放入任何模板文件中并运行它:

var_dump(DB_NAME, DB_USER, DB_PASSWORD, DB_HOST);
一行,它将打印所有DB凭据。

正如您所见,不需要任何漏洞。

所有PHP代码都可以访问这些凭据。而且它必须-否则它将无法访问DB。。。

SO网友:Jacob Peattie

如果他们可以上传文件,那么他们可以上传一个php文件,该文件可以从wp config读取数据库凭据。php。拥有对服务器的上传访问权可以让您几乎做任何事情。不要给你不信任的人这样的机会。这里没有漏洞,你只是给了他们钥匙。

标签: database   uploads   小码农  

相关推荐

Reducing Database Query Time

在这里寻找一些建议。有一位客户已经在WooCommerce上工作了大约一年半。我们为他们建了一个新网站。他们开始增加一条新的家具生产线。每个项目有700-800个产品变体组合。由于从生产线中添加了大约8个新产品,当您在管理中查看产品列表时,加载需要花费很长时间。如果您快速编辑一个产品,并说将其添加到第二个类别,然后单击“更新”,则完成查询平均需要10.2-10.8秒(根据查询监视器)。意识到有700-800个变体需要迭代,如果可以理解的话,可能需要更长的时间。我已经恢复到2017主题,禁用了除woocom