09. februar 2004 - 22:46Der er
5 kommentarer og 2 løsninger
Hvordan med sikkerheden?
Hej jeg har lige sat en server op med Apache, PHP og MySQL jeg er kun lige startet så det kan da godt være jeg ville finde ud af det selv senere men jeg ville nu gerne vide hvordan er sikkerheden på en server med disse programmer eller det jeg er i tvivl om er vel mest mine databaser hvornemt/svært er det for en udefrakommende at få adgang til mine databaser? hvad skal jeg evt. gøre for at sikre mine og mine kommende brugeres data? er kryptering vejen frem eller skal der noget andet til. Jeg vil gerne have relevante links. Da det er lidt dumt at lave for meget når man ikke kender svarne det er så træls at skrive det hele om hvis man kunne have gjort det rigtigt første gang.
ok det sagde mig ikke så meget lige nu eller det gjore det måske nok skal bare lige ind og læse den et par gange mere. Nu er den artikel on MmSQL er det det samme der skal gøres/skrives i en MySQL database eller server
Der er væsentlige forskelle på en MySQL og Microsoft SQL Server, bl.a. fordi MySQL ikke har funktioner og procedurer. Styring af adgangskoder og brugerkonti er også anderledes.
Eneste du kan bruge er at sørge for at dine brugere ikke har udnødige rettigheder (dvs. giv kun GRANTs til de objekter brugeren aktuelt har behov for) og sørg for at have lange og komplekse passwords på alle kritiske konti.
Jeg ville nok prøve at checke mysql's hjemmeside for fiduser til opsætning mht sikkerhed.
Det jeg er bekymret for at at en eller anden skulle få adgang til databasen og downloade den og så kunne åbne den kan de det? Jeg ved godt at men ikke kan sikre sig 100% men det behøver jo ikke være nemmere end højest nødvendigt
Man kan ikke downloade en rigtig server ligesom en Access database. Og hvis dit webhotel er ordentligt sat op, så kan man kun forbinde til databasen hvis man er lokalt på webserveren.
Den største fare er det der hedder SQL Injection. Det er, at man misbruger fx en søgeboks til at fyre egne sql kommandoer af, så man kan få data trukket ud af serveren.
Lad os sige, at du har en søgning der ser således ud (meget primitive eksempler - de er kun beregnet til at give dig ideen):
select * from mintabel where felt='x' and soegetekst like '$text';
Brugerens indtastning kommer så ind i variablen $text - men kan kun vise data hvor felt='x'. Ok, som bruger indtaster man så blot søgeteksten
$text = %' or 'a'='a
nu vil den totale sql komme til at se således ud
select * from mintabel where felt='x' and soegetekst like '%' or 'a'='a';
og da a altid er lig a, så vil alle rækker komme ud.
men ham den stykke hacker kunne også have lavet noget andet:
$text = %' UNION SELECT * FROM password where 'a'='a
og så kommer sql'en til at se sådan ud
select * from mintabel where felt='x' and soegetekst like '%' UNION SELECT * FROM password where 'a'='a'
Så det er den slags du skal passe på og sikre dig mod. jeg mener der er en artikel om den slags i artikelsektionen.
Tak for jeres svar. Jeg skal vist lige have læst lidt mere før jeg fårstår det helt men nu har jeg da en ide om det tak for hjælpen *S*
Kennith
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
