是否有可能获得cpanel mysql数据库前缀?

时间:2017-04-08 21:48:55

标签: php mysql database cpanel cpanel-xmlapi 

$db_connection = $_SERVER['DOCUMENT_ROOT'] . '/includes/install/database_connection.php';
if (!file_exists($db_connection)) {
    require("install/xmlapi.php");
    if (isset($_POST['cpname'])) {
        $opts['user'] = $_POST['cpname'];
        $opts['pass'] = $_POST['cppass'];
        $opts['temp'] = substr(str_shuffle(md5(time())),0,'12');
        $xmlapi = new xmlapi($_SERVER['HTTP_HOST']);
        $xmlapi->set_port( 2083 );
        $xmlapi->password_auth($opts['user'],$opts['pass']);
        $xmlapi->set_debug(0);
        $cpaneluser=$opts['user'];
        $databasename="OSMP_DAT";
        $databaseuser="OSMP_admin";
        $databasepass=$opts['temp'];
        $db = $databasename;
        $user = $databaseuser;
        $pass = $databasepass;
        $loc = 'localhost';
        $createdb = $xmlapi->api1_query($cpaneluser, "Mysql", "adddb", array($databasename));
        $usr = $xmlapi->api1_query($cpaneluser, "Mysql", "adduser", array($databaseuser, $databasepass));
        $addusr = $xmlapi->api1_query($cpaneluser, "Mysql", "adduserdb", array("".$cpaneluser."_".$databasename."", "".$cpaneluser."_".$databaseuser."", 'all'));
        include ('install/installer.php');
        exit;
    }
    if (!isset($_POST['dbhost'])) { include ('install/db_installer.php'); }
    if (isset($_POST['dbhost'])) {
            // save connection details to $db_connection
    }
}

上述代码可以完美无瑕地运行。

首先检查database_connection.php是否存在。如果存在,则包含包含数据库详细信息的文件。

如果没有 - 我们假设它是第一次安装。因此,我们要求用户提供cpanel登录详细信息,我们的脚本会创建数据库并将详细信息保存到database_connection.php。

唯一的问题是数据库前缀。创建数据库时,如果WHM具有为用户帐户设置的数据库前缀,则数据库前缀将作为数据库名称的前缀。

我想知道如何确定是否有前缀,如果是,如何找出它是什么,以便脚本也可以在数据库名称前加上它。

注意我不是在寻找表前缀,而是由cpanel / whm

添加的数据库前缀

1 个答案:

答案 0 :(得分:0)

显然,如果启用了前缀,则默认使用cpanel,使用一个用户名的前8个字符,后跟下划线。这用于数据库和数据库名称。

所以我只是修改了上面的代码如下:

$db_connection = $_SERVER['DOCUMENT_ROOT'] . '/includes/install/database_connection.php';
if (!file_exists($db_connection)) {
    require("install/xmlapi.php");
    if (isset($_POST['cpname'])) {
        $opts['user'] = $_POST['cpname'];
        $prefix = substr($opts['user'],0,8).'_';
        if ($prefix === FALSE) {$prefix = $opts['user'];}
        $opts['pass'] = $_POST['cppass'];
        $opts['temp'] = substr(str_shuffle(md5(time())),0,'12');
        $xmlapi = new xmlapi(localhost);
        $xmlapi->set_port( 2083 );
        $xmlapi->password_auth($opts['user'],$opts['pass']);
        $xmlapi->set_debug(1);
        $cpaneluser=$opts['user'];
        $databasename="OSMP_DAT";
        $databaseuser="osmp";
        $databasepass=$opts['temp'];
        $pass = $databasepass;
        $loc = 'localhost';
        $createdb = $xmlapi->api1_query($cpaneluser, "Mysql", "adddb", array($databasename));
        $usr = $xmlapi->api1_query($cpaneluser, "Mysql", "adduser", array($databaseuser, $databasepass));
        $addusr = $xmlapi->api1_query($cpaneluser, "Mysql", "adduserdb", array($databasename, $databaseuser, 'all'));
        $db = $prefix.$databasename;
        $user = $prefix.$databaseuser;
        include ('install/installer.php');
        exit;
    }
    if (!isset($_POST['dbhost'])) { include ('install/db_installer.php'); }
    if (isset($_POST['dbhost'])) {
        // save connection details to $db_connection
    }
}

现在进行检查以确定用户名的长度,如果长度超过8个字符,则将其截断为8.然后添加下层并输出为变量以传递给脚本的下一部分。

我能看到的唯一缺陷是主持人是否已禁用whm中的前缀,所以我很顺利。

  

对于将来尝试使用此代码的任何人 - 请记下您   需要保护包含的文件,否则你将会有惊人的   安全问题。由于此代码代表某人可以手动调用   install / db_installer.php或install / installer.php并绕过   (!file_exists($ db_connection))检查和if(isset($ _ POST))和   (!isset($ _ POST ['dbhost']))。

如果您不知道如何保护,请不要使用此代码!

相关问题
最新问题