从主题文件中获取数据库凭据

Question

我有个自由职业者在为我做一个项目。

我让他通过FTP访问主题文件夹。他将phpMiniAdmin上传到该文件夹，并以某种方式获得了数据库凭据，然后他将其用于登录。

他是如何获得这些证书的？一旦您可以将文件上载到服务器，是否存在可使用的漏洞？

Answer 1

他所需要做的就是将这些PHP代码放入任何模板文件并运行它：

var_dump(DB_NAME, DB_USER, DB_PASSWORD, DB_HOST);

一行，它将打印所有DB凭据。

如您所见-不需要任何漏洞。

所有PHP代码都可以访问这些凭据。它必须.否则它无法访问DB.

Answer 2

如果他们可以上传文件，那么他们就可以上传一个php文件，该文件可以从wp-config.php读取数据库凭据。拥有对服务器的上传访问权限，几乎可以让您做任何事情。别让你不信任的人有这种权利。这里没有漏洞，你只是给了他们钥匙。