Aller au contenu

Mephisto

INpactien
  • Compteur de contenus

    1 998
  • Inscription

  • Dernière visite

Tout ce qui a été posté par Mephisto

  1. require_once(), et doubles quotes ou backslash sur la quote, pour le message d'erreur.<br>
  2. on pourrait fermer le topic ? ou le deplacer dans blabla ?
  3. j'ai cru comprendre qu'ils avaient *enfin* vire hal ?! effectivement, au premier lancement, doit y avoir de la conf a reprendre par contre, devicekit, je l'ai deja vu installe, mais j'ai aucune idee de comment ca tourne en quoi c'est sence etre 'mieux' que hal ?
  4. Il me semble que dans les spécifications standard du sql la clause from n'est pas facultative. C'est d'ailleurs il me semble l'une des raisons de la table dual sous oracle. (du coup ta ligne ne fonctionne pas sous sqlplus) Enfin après il y a peut etre certains sgdb qui l'autorise... au moins en sqlite, mysql et pgsql
  5. Excellent choix ^^ bon courrage j'ai decouvert "recemment", j'ai pas cherche a voir les differents installeurs d'autant plus que celui en console est particulierement bien concu exception faite de la gestion des disques je sais plus trop comment j'en etait arrive la j'avais du retourner sur une etape d'une section precedente (les connaisseurs comprendront) en voulant poursuivre, en revenant ou je m'etais arrete, ou en reprenant juste apres mon erreur, pas moyen, l'installeur etait pomme mais globalement, si tu fais tout bien dans l'ordre, tout va bien se passer pour le grub error, donne nous plus de details peut-etre est-ce le disque de boot mal indique (hd1,0 au lieu de hd0,0, ou inversement) ? il y a une chose qu'on peut reprocher a arch, c'est qu'il a tendance a pas toujours loader ses perifs dans le meme ordre il y a des manips pour les forcer/fixer, mais quand on fait pas attention, ca fait des surprises. comme sur ma gate, qui apres un reboot, s'est mise a filtrer mon reseau local sortant... ( au passage, la solution: mv /etc/udev/rules.d/75-persistent-net-generator.rules.optional /etc/udev/rules.d/75-persistent-net-generator.rules reboot .... mv /etc/udev/rules.d/75-persistent-net-generator.rules /etc/udev/rules.d/75-persistent-net-generator.rules.optional et ca bougera plus ) quoi qu'il en soit, peut-etre le media d'installation a-t-il ete pris en compte dans l'enumeration des perifs, et ton disque ne serait maintenant plus a la meme position dans cette liste et dernier conseil: shm est automatiquement monte avec la moitie de ta ram. tu peux modifier ca dans le fstab et quand t'as de la ram en masse, monter /tmp dessus, c'est cadeau, meme remarque pour la taille dans ton fstab, remplace les /dev/toto par /dev/disk/by-uuid/[uuid], ca evitera de monter les disques aleatoirement (d'autant plus genant quand c'est / qu'il retrouve plus...) devpts /dev/pts devpts defaults 0 0 shm /dev/shm tmpfs nodev,nosuid,size=1024M 0 0 tmpfs /tmp tmpfs size=1024M 0 0 UUID=6df938ed-9f5c-44b0-966d-d19b688307ae / ext4 defaults 0 1 UUID=649e4f86-ad70-43ab-aa7a-0510fef3a020 /home ext4 defaults 0 1 #UUID=f78f5471-802e-4246-8c23-ae83ef3a55b0 /mnt/ovrflw ext4 defaults 0 1 UUID=bef395ca-f10c-48e5-b9df-17dc4092a2e1 /mnt/videos ext4 defaults 0 1 UUID=30a5e93a-dcd5-40ca-81bf-1491ffff5f4d /mnt/storge ext4 defaults 0 1 UUID=931f83d9-cec9-4190-bf6d-909439284e4f /mnt/vrtual ext4 defaults 0 1
  6. pour le principe, un coup de propagande : ArchLinux, ca troue le cul plutot light un arriere gout de BSD simple sans etre "user-friendly" je sais pas ce que ca donne avec KDE (allergique), mais gnome+compiz en 64b (6Gb de ram) tourne parfaitement par contre, nvidia, je ne sais pas ce que donnent les driver catalyst, mais ca a l'air documente sur le wiki
  7. 4Gb seront geres *en tout* donc, modulo la ram de ton chip graphique (et probablement d'autres conneries) meme si c'est pour pas grand chose (quoiqu'on voit de plus en plus de CG embarquant 1Gb de DDR), il vaut mieux s'emmerder a mettre un PAE. ou sinon, envisager de sauter le pas pour le 64b c'est pas 'parfait', mais sur une utilisation courrante, on ne remarque pas la difference quelque soit la distrib, on se retrouve plus ou moins avec ce meme probleme: des connards distribuent pas leurs sources dans ces cas-la, on regarde quels lib sont manquantes, et on va installer `lib32-$lib' apres, mandriva, c'est peut-etre pas le bon exemple, avec cette histoire de driver proprios... t'as une idee de quels perifs auraient besoin de ces drivers ?
  8. pour moi, l'erreur est meme: if($handler = opendir('./Services')) { while(FALSE !== ($file = readdir($handler))) { if(!in_array(substr($file, 0, 1), array('.', '_')) && is_dir($file)) { echo "\n<tr><td><a href='?page=$file'>$file</a></td></tr>"; } } } else die ("Unable to open '".getcwd()."/Services'");
  9. euh tu fermes pas ta quote et d'ailleurs, pas de ';' non plus
  10. pour une utilisation 'avancee' du C, quelques bases d'ASM sont toujours bonnes a prendre. mais c'est pas le genre de situations que tu rencontrera de si tot. visual te sort de l'ASM ou un dump de ta memoire ? (j'y comprends rien aux tools windows) en tout cas, mon avis: c'est plus simple de debug du C que de l'ASM (mais, t'auras toujours un barbu pour pretendre le contraire)
  11. on pourrait egalement rajouter aux points que tu as decrit le SQL inecting brievement, quand on verifie un login, un pass, ou quand o pot un message, bref, des trucs qui vont appeler un mysql_query quand on veut pas se casser la tete, on faut notre mysql_query("SELECT passwd FROM table WHERE login = '$login'"); sauf que, $login vaut "admin UNION passwd as 'toto'". ensuite, le met toto a mon passwd, et j'ai recupere une session. la solution est donc d'utiliser mysql_real_escape_string() qui rajoute des caracteres d'echappement devant les quotes et doubles quotes. mais, ce n'est qu'un debut on pourrait egalement empecher l'utilisation des caracteres d'espacement dans les login et passwd (ce qui est couremment fait deja) ensuite, quand tu recuperes tes infos, tu peux enlever tous les espaces, tabulations, etc. (attention aussi a matcher les ecritures hexa, les %20, je ne sais pas si c'est interprete a la reception du post ou par le mysql_query, mais mieux vaut ne pas prendre de risques, ou prendre le temps de verifier) ces types d'injections marchent en post tout aussi bien qu'en get (en les rentrant dans l'url) une seconde faille (enorme) que l'on ne peut oublier: les scripts d'upload on en trouve partout sur le web, et certains pretendent meme qu'ils sont securise (sous pretextes qu'ils verifie le mime-type ou le magic-number, imposent une extension, resize, etc.) maintenant, je vous invite a lancer un gimp, creer une image de taille 1*1px ensuite, dans les options avancees, vous pouvez ajouter un commentaire de base, vous avez creted with gimp, mais, pour le fun, on peut metre un <?php phpinfo(); ?> enregisrtez l'image en toto.jpg par exemple votre image est genere avec son magic number de php suivant les cas, on peut: - si le script ne check pas l'extension .php: on renomme le fichier en .php, on l'envoit - si le script empeche toute forme de langages web: on renomme en .jpg.gzip, on l'envoit - si le script veut absolument un .jpg: il est probable que le fichier soit tout de meme interprete (il me semble que ca depend de la conf du serv), enfin, j'ai deja tente, et ca a deja marche ensuite, il suffit s'aller consulter "l'image" mais, certains scripts ne gerent meme pas le migic number present a chaque debut de fichiers, on peut donc directement creer son .php comment regler le probleme: lire le fichier comme un txt et regarder si a l'interieur, on n'aurait pas glisser quelques <? ?> <?php ne pas uploader les images sur son serveur j'ai egalement entendu parle de fichiers avec dans leurs noms un (test.php.jpg par exemple), permettant de faire sauter la fin de l'extension (celle qui sera verifiee) lors de la copie dans son repertoire definitif, mais la, je en suis sur de rien et je n'ai jamais verifier. enfin, un preg_match ou preg_replace devrait faire l'affaire enfin, ce ne sont que les deux failles qui me sont venue a l'esprit en lisant ton post, mais il y en as d'autres un complement sur les XSS: j'ai lu quelques articles recemment a ce sujet, en encodant ses caracteres a coup de %[hexa], on a plus de chances de reussir de meme, plutot que de mettre java script en un seul mot on peut ecrire java en fin de ligne et script sur le debut de la suivante. et sur les cookies de session: se mefier des SSID seuls egalement (on peut les recuperer par XSS et faire de meme qu'avec les login) voilou, je repasserai si d'autres choses me reviennent
×
×
  • Créer...