На сколько мне известно, передача именно reCaptcha на сторону такого сервиса является пока нерешённой проблемой. Там ведь механизм прост — получил картинку на сайте, перешли в виде файла на сервис распознавания по API и жди ответа сервера с фразой распознанной человеком. А reCaptcha мало того что динамична, так ещё и видоизменяться может (кликнул на галочку, потом может показаться фрейм с выбором изображений).
Смотря какой клиент. В чём-то может безопаснее, но не со всяким удобнее. Опять же, ситуации разные бывают. Иногда может понадобится с телефона срочно зайти с плохой связью и выполнить пару запросов вбиваемых руками. Тут PMA как раз хорошо выручит.
О том что какой-то сервис разгадывания работает с reCaptcha я никогда не слышал. Если это так, то всё куда хуже чем я думал) Хорошие пароли всегда являлись отличной защитой от подбора, но не всегда мы сами можем контролировать какой пароль на свою БД ставит рядовой пользователь совместного хостинга например.
Ситуации разные бывают, порой это необходимая мера. Я сам сторонник жёстко лимитированного доступа к инструментам администрирования, но всё равно имеется пара серверов на которых доступ к таким инструментам необходим в любое время и с любого устройства.
Описание то есть, но сколько лет использую pma ни разу даже не слышал о том, что такой функционал существует. Поспрашивал у знакомых веб-мастеров — те тоже не знали. Всю жизнь просто распаковывали и пользовались. Максимум конфиг редактировали по комментариям из него же. В итоге решил проверить, а оказалось что баг нашёл :)
Dojo можно «склеивать», вот одна из ссылок на туториалы: dojotoolkit.org/documentation/tutorials/1.7/build/
По личному опыту могу сказать, что отказ от его использования будет только плюсом. Dojo очень мощный и предоставляет огромный функционал, но до сих пор имеет проблемы совместимости с браузерами, особенно с Оперой. В своих проектах перешёл на jQuery.
Возможно Вы просто ещё не нашли то что Вам придётся по душе. Многие люди так годами перебирают разные занятия. И без этого никуда — нам всё интересно, мы всё пробуем. Попробовав часто понимаем что это был простой ребяческий интерес. И вот так ищем и ищем своё призвание. В итоге всё равно находим ;)
Нет. Из-за того, что всё это происходило очень долгое время (заказчик обратился тогда, когда полный хаос был уже близок) разобраться что откуда появилось просто было не возможно.
Попытки были конечно, но сразу стало ясно что это может отнять не одну неделю. Поэтому и было решено сразу закрутить гайки по максимуму, а затем смотреть где всплывёт очередное заражение. Если бы изначальная уязвимость осталась, мы бы увидели дырявый сайт.
Опять же, если бы на момент проведения работ на клиентской машине сидел бы вирус подтягивающий FTP-пароли, то после их смены это по логам это сразу бы всплыло.
При заключении параметров в кавычки, вам требуется выйти за них, чтоб как-то изменять код запроса. То есть нужно либо поставить кавычку (вы закрыли первую, дальше вы уже в теле запроса), либо обратный слеш в конце значения (превратили закрывающую кавычку в обычный текст). И то и то нейтрализует mysql_real_escape_string(). А если значение параметра в кавычки не обрамлено, то помещая туда данные вы уже находитесь прям в теле самого запроса, а не в каком-то тексте как в первом варианте.
Дыр было много, предположительно изначально злоумышленник добрался через инъекцию до админки, а там смог оперировать файлами сайта. Считал данные для подключения к БД, и стал работать напрямую через PMA.
Я ничего про следственные органы не говорил :)
Как раз по причинам связанным с законодательством недавно перешёл полностью на «белые рельсы» — договора, белая бухгалтерия, юр. гарантии и прочее. А то разные случаи бывают, можно и при проведении проверки нахватать себе проблем, если она проводится по устной договорённости.
Специалисты попадаются разные. Но ведь не отказывать им в помощи из-за низкой квалификации, особенно когда ситуация критична. Тем более если они согласны платить.
Конечно, можно нарваться на такой код который просто нереально читать, но я с этим сталкивался всего 1 раз. Тут, к сожалению, ничего не поделаешь — только отказываться от сотрудничества :(
По личному опыту могу сказать, что отказ от его использования будет только плюсом. Dojo очень мощный и предоставляет огромный функционал, но до сих пор имеет проблемы совместимости с браузерами, особенно с Оперой. В своих проектах перешёл на jQuery.
Попытки были конечно, но сразу стало ясно что это может отнять не одну неделю. Поэтому и было решено сразу закрутить гайки по максимуму, а затем смотреть где всплывёт очередное заражение. Если бы изначальная уязвимость осталась, мы бы увидели дырявый сайт.
Опять же, если бы на момент проведения работ на клиентской машине сидел бы вирус подтягивающий FTP-пароли, то после их смены это по логам это сразу бы всплыло.
http://h4s-team.ru/ (самое последнее)
Как раз по причинам связанным с законодательством недавно перешёл полностью на «белые рельсы» — договора, белая бухгалтерия, юр. гарантии и прочее. А то разные случаи бывают, можно и при проведении проверки нахватать себе проблем, если она проводится по устной договорённости.
Конечно, можно нарваться на такой код который просто нереально читать, но я с этим сталкивался всего 1 раз. Тут, к сожалению, ничего не поделаешь — только отказываться от сотрудничества :(