SQL sicher machen, aber wie?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • SQL sicher machen, aber wie?

    hi, ich befasse mich jetzt schon seit einiger zeit mit der benutzung/konfiguration von SQL-datenbanken.

    leider bin ich auf dem gebiet immernoch ein newbie, und möchte deshalb wissen auf welche sachen mann sicherheitstechnisch achten muss.

    - mySQL-datenbank
    - steuerung über aplikation-server
    - steuerung über php-scripte
    - sonstiges
    - schutz vor hackern/crackern


    bitte alles posten was das arbeiten mit SQL sicherer macht, vielen dank im vorraus

    mfg

  • #2
    DB-Serverkonfig:
    - kein Zugang über Netzwerk außer von localhost
    - kein anonymer Zugang, Defaultuser nach Installation löschen
    - keine Benutzernamen/Passwörter, die man erraten kann
    - regelmäßig neue Passwörter vergeben*
    - minimale Berechtigungen: jedem User nur das erlauben, was unbedingt notwendig ist
    - maximale Anzahl Verbindungen, Queries etc. beschränken, wenn es mehrere Benutzer gibt
    - Backups, Backups, Backups, denn absolute Sicherheit gibt es nicht

    Scripte mit SQL:
    - keine Variablen ungeprüft in Queries einbauen, mysql_real_escape_string() ist Minimum


    *) Das zwingt Programmierer, die DB-Zugangsdaten irgendwo zentral zu speichern, statt tausendfach im ganzen Code zu wiederholen. Diese zentrale Stelle mit minimalen Rechten außerhalb des DocRoots ablegen.
    Zuletzt geändert von onemorenerd; 08.09.2006, 13:07.

    Kommentar


    • #3
      Ist es eigentlich Sinnvoll eine Geöffnete MySQL Verbindung am ende des Scriptes wieder zu schliessen?
      Bis jetzt habe ich dies nicht getan.
      Ist dies sicherer oder was für vorteile bringt dies mitsich?
      Webdesign und Webentwicklung - Plunix.de

      Kommentar


      • #4
        Ist es eigentlich Sinnvoll eine Geöffnete MySQL Verbindung am ende des Scriptes wieder zu schliessen?
        afaik macht das PHP selbst, wenn das Script durchgelaufen ist. Gleich wie das Freigeben von Mysql Ressourcen.

        Gruss

        tobi
        Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

        [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
        Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

        Kommentar


        • #5
          Achso vielen Dank, wie kommt es denn dan aber, das in vielen Tutorial eigentlich in fast jeden was SQL behandelt ein Thema besteht, was das beenden der SQL Verbingung behandelt?
          Dies Würde doch dann keinen Sinn machen, möglicherweise sogar die die scriptlaufzeit unnötig verlängern?
          Webdesign und Webentwicklung - Plunix.de

          Kommentar


          • #6
            Frühzeitiges mysql_close() gibt Resourcen frei (RAM, max_connections).
            Dein Code ist auch verständlicher, wenn man sieht, dass von nun an keine Daten oder Informationen mehr mit dem DB-Server ausgetauscht werden.

            Kommentar


            • #7
              Wenn ich dich Verstanden habe, ist eine Anzeige wie z.b. Wieviele Querys man in den Jeweiligen Script benutzt hat nur möglich wenn voher die Verbingung Manuel also per mysql_close() geschlossen wurde?
              Webdesign und Webentwicklung - Plunix.de

              Kommentar


              • #8
                Nein, das habe ich mit keiner Silbe gesagt.
                Schau mal:
                PHP-Code:
                mysql_connect();
                $count 0;
                mysql_query();
                $count++;
                mysql_query();
                $count++;
                mysql_close();
                // weiterer Code
                echo $count
                Wie du siehst, hält dich ein mysql_close() nicht davon ab, deine Queries mitzuzählen und irgendwann die Summe auszugeben.
                Ich wollte mit meinem letzten Beitrag ausdrücken, dass nach mysql_close() im obigen Beispiel unter Umständen noch viel viel Code kommt. Ohne mysql_close() könnte MySQL den RAM, den diese Verbindung belegt hat, nicht anderweitig nutzen.
                Außerdem kann ein MySQL-Server nur eine begrenzte Anzahl Verbindungen gleichzeitig führen. Je früher also das mysql_close() steht, desto eher kann MySQL eine weitere Verbindung von einem anderen Script (oder sogar dem selben ... parallele Requests) annehmen.

                Kommentar


                • #9
                  Ist in dieses Falle mit Verbindung gemeint zu einer Tabelle oder zu Einer Datenbank?
                  Webdesign und Webentwicklung - Plunix.de

                  Kommentar


                  • #10
                    @Lenni: Wenn du mir zeigst, wie du dich mit einer Tabelle verbindest, dann darfst du diese Frage gerne nochmal stellen.

                    Kommentar


                    • #11
                      mann kann sich nur mit einer datenbank verbinden und darin befindliche tabellen behandeln^^

                      danke schonmal für die qualitativen antworten, hört aber bitte auf zu spammen.

                      das ganze soll ein informations-tread werden.

                      qualifizierte antworten & fragen.

                      dann macht mal weiter, schreibt alles was sicherheitsrelevant ist

                      mfg

                      Kommentar

                      Lädt...
                      X