Ok, onda preostaju dva vrlo realna scenaria:
Jedan:
Naš dragi korisnik ima takođe prostor na istom serveru kao i ti. Zna tvoje korisničko ime kod provajdera i apsolutnu putanju do config.php skripta koga u lokalu otvori i pročita podatke za bazu.
Zatim se poveže na bazu i promeni admin lozinku na neki novi md5 šifrovani string, izvršlja po forumu kao administrator i vrati admin nalog na staro.
Drugo je da izmene radi direktno u mysql klijentu.
U ovom slučaju probaj da postaviš config.php (ili kako se već zove) van DOCUMENT_ROOT direktorijuma Apache web servera i da mu podesiš privilegije. Takođe ćeš morati da izmeniš prvih par linija phpBB foruma kako bi on prihvatio novu lokaciju.
Ovako tvoj dragi korisnik više neće znati gde se datoteka nalazi, a neće moći ni da je nađe sa ispravno podešenim privilegijama nad novim direktorijumom u kome je config.php datoteka.
Ovo sam radio sa XMB-om, ali i phpBB sigurno nije teško prepraviti. Treba izmeniti maksimalno jednu liniju.
Dva:
Naš dragi korisnik zna da dopre do admin privilegija sa standardnim nalogom, ili bez naloga. Prvo, pređi na poslednju verziju phpBB-a, proveri da li je register_globals isključeno u PHP-u (napraviš datoteku phpinfo.php u kojoj napišeš: <?php echo(phpinfo() ); ?> pa onda to uploaduješ i otvoriš sa svog sajta i pronađeš ovo podešavanje). Ako nije, to može biti sigurnosna rupa.
Sledeće što može da se uradi jeste da se izmeni phpBB tako da snimi šta je sve rađeno iz admin panel-a i da onda sačekamo da naš dragi korisnik ponovo dođe i vidimo šta je.
Sada, kako da znaš da li je jedan ili dva. Pa jednostavno, otkloniš problem pod jedan i onda budeš siguran da je pod dva.
Kontaktiraj me na email, ako ti treba pomoć, možemo se dogovoriti.
http://sr.libreoffice.org — slobodan kancelarijski paket, obrada teksta, tablice,
prezentacije, legalno bez troškova licenciranja