Sikker mysql connection?

Du kan gemme oplysningerne krypteret i f.eks. web.config og indlæse den derfra...

Øh, kan du uddybe det lidt?

Betyder det, at sådan som jeg gør det nu, ikke er sikkert?

det er sikkert mod web brugerne da de kun kan faa output fra din .aspx
og ikke hverken dll'er eller source code

det er ikke sikkert mod system administrator paa din web server

jeg mener at PHP's login protokol beskytter mod netvaerks snifning hvis
web server og database server er 2 forskellige boxe

bottom line: no problem

Hvad med i php, der er vel ikke noget problem der?

Ok, så arne_v, du mener at det er sikkert (Både php og C#)
Man skal altså ikek skjule eller hvad?

PHP er det samme

web brugerne kan ikke se det

web server administrator kan se det

hvis web server administrator er dig => ikke noget problem

hvis web server administrator er en som du har tillid til => ikke noget problem

hvis web server administrator er en som du ikke har tillid til => find en anden server

Har min side ved unoeuro.com :P
Det går nok næppe ind og lurer folks koder :P

Men hvis jeg laver et C# program, som andre installerer, kan de så på en måde decompile, eller et eller andet, og derved få fat i min kode, eller kan det ikke lade sig gøre?

Den skal ikke skjules på nogen måde?

ja

.NET kode er nemt at decompile

kig paa obfuscatorer (der findes flere forskellig eprodukter til .NET)

du kan ogsaa soege lidt her - emnet har vaeret oppe nogle gange

ok, så min connect skal, I C# krypteres?, I php intet?

Kan du forklare hvordan?

obfuskeres - det er ikke helt det samme som krypteres

faktisk vil man nok typisk kryptere passwordet og saa obfuskere koden der dekrypterer

men det er altsaa ikke en 100% sikker metode - det holder ikke 30 minutter
mod en kyndig person

da PHP skal fortolkes saa er mulighederne ret begraensese i PHP

søg på cryptography/C# på msdn.com eller i Visual Studio hjælpen, der er kodeeksempler på kryptering

Ok, kan man sikre det helt på nogen måde?
Er MSSQL bedre end MYSQL, altså på det her punkt?

Hvordan bruger man ellers databaserne (primært MySQL), man må da kunne gøre det sikkert? Ellers er det jo ikke ligefrem rart at have med at gøre...

(Forresten, kræver brug af MSSQL databaser ikke, at brugeren af programmet har MSSQL installeret, eller er selve .mdf filen nok i sig selv?)

man anser det normalt for praktisk umuligt at sikre noget mod nogen som har
fuld adgang

da din db vel ogsaa ligger paa web hotel og de har fuld server adgang til
db ogsaa, saa er web hoteller naeppe specielt interesseret i dit password

Mig bekendt er problem stillingen for SQLServer med SQLServer security den
samme.

Men SQLServer kan koeres med Windows security (alias integrated security) og saa
er der ikke noget password i koden overhovedet.

SQLServer er ligesom MySQL:

client app (f.eks. en web side)----------database server--------database fil

" vel ogsaa ligger paa web hotel og de har fuld server adgang til
db ogsaa, saa er web hoteller naeppe specielt interesseret i dit password"
->
Nej men hvis jeg udvikler programmer til brugere, koblet op på en MySQL database, så skal de jo ikke kunne få fat i min kode, kan jeg ikke undgå 99,99999 % at det kan lade sig gøre?

du skal vaelge:
1) lade passwordet i dine brugeres app kun give adgang til deres egne data
2) kun lave app til paalidelige brugere
3) lade dine brugeres app snakke med en web service paa en paalidelig server
  (hvor passwordet saa ligger)

Kan du forklare det lidt nærmere? Forstår ikke helt punkt 3.

bruger app/bruger PC-----(web service kald)----din webservice/din sikre server----(db kald)----database

Er jeg ikke nødt til at connecte fra selve programmet? Koden er da nødt til at stå i programmet?

database passwordet er i web serviuce koden paa den sikre server

arne_v: "man anser det normalt for praktisk umuligt at sikre noget mod nogen som har
fuld adgang"

Det er ikke rigtigt. Det er praktisk muligt - men dyrt! Dyrt fordi det kræver (tamper-resistant) hardware.

arne_v > Beklager men jeg forstår stadig ikke helt... (Hvor er koden siger du)

Webservice.. :S ?
Sikre server.. :S ?

kan man have fuld kontrol over noget tamper resistant ?

webservice kan du finde masser af info om

sikre server er en server hvor dem du mistaenker for at ville hapse database
kodeordet ikke har adgang til webservice koden men kun til at kalde den

arne_v: i det konkrete tilfælde skal der under alle omstændigheder sendes et password til databasen, så her gi'r hw ikke så meget mening. Man kunne gemme et krypteret password i app.config og nøglen i Windows' key-store.

Men i tilfælde hvor hverken nøgler eller data må findes i klartekst selv ikke i maskinens ram, så kan hw hjælpe.

Kan I give et konkret eksempel..?

jeg har ikke en web service eksempel men kun et normal web request eksempel
og i VB.NET og ikke i C#

Imports System
Imports System.IO
Imports System.Net
Imports System.Text

Class MainClass
    Public Shared Sub Main(ByVal args As String())
        Dim req As HttpWebRequest = CType(WebRequest.Create("http://localhost/select.aspx"), HttpWebRequest)
        Dim resp As HttpWebResponse = CType(req.GetResponse, HttpWebResponse)
        Dim stmrdr As StreamReader = New StreamReader(resp.GetResponseStream)
        Dim line = stmrdr.ReadLine
        While line <> Nothing
            Dim parts = line.Split(" ".ToCharArray)
            Dim f1 As String = parts(0)
            Dim f2 As String = parts(1)
            Console.WriteLine(f1 & " " & f2)
            line = stmrdr.ReadLine
        End While
        stmrdr.Close
        resp.Close
    End Sub
End Class

og

<%@ Page Language="VB" %>
<%@ Import Namespace="System.Data.OleDb" %>
<%
    Response.ContentType = "text/plain"
    Dim con As OleDbConnection = New OleDbConnection ("Provider=Microsoft.Jet.OLEDB.4.0;Data Source=D:\Database\MSAccess\Test.mdb;User Id=admin;Password=")
    con.Open
    Dim cmd As OleDbCommand = New OleDbCommand ("SELECT * FROM T1", con)
    Dim rdr As OleDbDataReader = cmd.ExecuteReader
    While rdr.Read
        Dim f1 As Integer = CType(rdr(0), Integer)
        Dim f2 As String = CType(rdr(1), String)
        Response.Write(f1 & " " & f2 & Environment.NewLine)
    End While
    con.Close
%>

koden er ikke nogen pryd for oejet men pointen er bare at database connection laves
i noget kode som er paa web serveren og ikke i den exe som brugeren har

Der indtaster du jo også bruger og pass...

ja

men det ligger paa en server ikke i den client app som ligger ude paa
brugernes PC'ere

(loesningen er ikke relevant for web apps)

Må desværre sige at jeg slet ikke er med...

Den kode der, er det ikke selve applikationen, eller ligger det på en server et sted, eller hvordan fungere det?

Jeg holder mig til arne_v's kommentar:

Kommentar: arne_v
27/02-2006 22:37:26

Smid et svar

ok