Einzelnen Beitrag anzeigen
  #2 (permalink)  
Alt 25-02-2021, 13:12
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.787
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Für was das Escaping?

Die Sicherheit steht und fällt mit der Konfiguration der Server. Man kann das Passwort natürlich verschlüsselt in der Session abspeichern. Wenn es aber jemand schafft fremde Session-Daten auf dem Webserver abzugreifen, dann mit einer hohen Wahrscheinlichkeit auch den PHP-Code, der das wieder entschlüsseln kann.

Man könnte das Passwort auch verschlüsselt im Cookie des Browsers speichern. Hier das gleiche, wenns jemand schafft den Webserver zu hacken, kommt er auch an den Code, der das Passwort im Cookie entschlüsseln kann.

Also sagen wir so, das über eine Webanwendung im internen Netz zu machen ist nicht gerade die sicherste Variante. Aber phpMyAdmin macht im Endeffekt auch nichts anderes. Es kommt halt auf die Rahmenbedingungen an. Haben nur vereinzelt User Zugriff zu der Webanwendung und sind diese vertrauenswürdig, dann würde ich mir keine großen Gedanken machen. Ist aber davon auszugehen, dass jemand Schindluder treiben will, würde ich sowas eher nicht machen. Auch sollte sicher gestellt werden, dass kein User direkten Zugang zum Webserver hat und dort PHP-Code oder Session-Daten auslesen kann.

Gibts eigentlich einen besonderen Grund, warum die User nicht einfach einen herkömmlichen SQL-Client verwenden? Wozu eine PHP-Lösung?

Geändert von h3ll (25-02-2021 um 13:25 Uhr)
Mit Zitat antworten