[sisyphus] Fwd: [SA19659] phpMyAdmin "sql_query" Cross-Site Scripting and SQL Code Execution

[Ivan Adzhubey]

On Monday 17 April 2006 08:13, Michael Shigorin wrote:
> On Mon, Apr 17, 2006 at 02:18:29PM +0300, Igor Zubkov wrote:
> > Всем "счастливым" обладателям phpMyAdmin посвящается.
>
> Э, стоп.  Я давно бросил это в отдельный архив складывать
> на тот случай, если апдейт буду делать, так что сюда в качестве
> примера форвардил.  А счастье там такое ежемесячно.
>
> .htaccess в пакете не зря положен.

Я вообще никакие удаленные интерфейсы управления чем-либо на сервере (тем 
более - web-based) никогда не делаю доступными извне. Только localhost, а 
если нужен доступ из интернета - ssh + port forwarding и 
авторизация/шифрование трафика средствами ssh. Не вижу причин как-то выделять 
phpMyAdmin в смысле безопасности - дырки везде есть.

-- 
Иван