11. maj 2010 - 09:31Der er
29 kommentarer og 1 løsning
Oprettelse af Mysql-forbindelse. Sikkerhedsrisiko?
Hej. Jeg er i gang med at lære lidt om databaser, og jeg har et sprøgsmål angående oprettelse af Mysql-forbindelsen. Når man opretter forbindelse til en database skal man skrive brugernavn og kode:
$con = mysql_connect("MINDATABASE","BRUGER","KODE"); if (!$con) { echo("Could not connect"); }
mysql_select_db("MINDATABASE", $con);
Hvis nu vi forestiller os en ond hacker, som har et smart program, der kan downloade hele hjemmesider. Han vil kunne downloade alt indholdet på min hjemmeside, og finde en PHP-fil, som opretter forbindelse til en database. Så kan han kopiere kode og brugernavn, og gå ind i PHPmyAdmin, hvorefter han ret nemt vil kunne slette alle mine tabeller.
Er ovenstående en realitet, eller er det umuligt? I så fald vil det jo udgøre en stor sikkerhedsrisiko.
Han får output fra PHP d.v.s. HTML + evt. embedded JavaScript.
Synes godt om
Slettet bruger
12. maj 2010 - 14:22#6
Det var mærkeligt. Jeg var overbevist om at det var muligt at downloade alt. Ham jeg kender havde et program som hentede alle filer ned, inklusive billeder. Men det kan åbenbart ikke lade sig gøre med php-filer?
Det er en crawler d.v.s. at den starter med start side, parser indholdet, requester alle (lokale) links, parser dem, requester deres links o.s.v..
Det er saadan man goer det.
Hvis der ikke er en index.* og web serveren derfor viser alle filer i en liste, saa faar man alle filer.
Men er der en index.*, saa er der ingen maade at vide at der ligger en given PHP fil hvis der ikke er et link til den.
Synes godt om
Slettet bruger
15. maj 2010 - 12:42#30
Okay
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
