PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr

PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr (https://www.php-resource.de/forum/)
-   SQL / Datenbanken (https://www.php-resource.de/forum/sql-datenbanken/)
-   -   SQL sicher machen, aber wie? (https://www.php-resource.de/forum/sql-datenbanken/75558-sql-sicher-machen-aber-wie.html)

tmaniacr 08-09-2006 13:24

SQL sicher machen, aber wie?
 
hi, ich befasse mich jetzt schon seit einiger zeit mit der benutzung/konfiguration von SQL-datenbanken.

leider bin ich auf dem gebiet immernoch ein newbie, und möchte deshalb wissen auf welche sachen mann sicherheitstechnisch achten muss.

- mySQL-datenbank
- steuerung über aplikation-server
- steuerung über php-scripte
- sonstiges
- schutz vor hackern/crackern


bitte alles posten was das arbeiten mit SQL sicherer macht, vielen dank im vorraus :)

mfg

onemorenerd 08-09-2006 14:04

DB-Serverkonfig:
- kein Zugang über Netzwerk außer von localhost
- kein anonymer Zugang, Defaultuser nach Installation löschen
- keine Benutzernamen/Passwörter, die man erraten kann
- regelmäßig neue Passwörter vergeben*
- minimale Berechtigungen: jedem User nur das erlauben, was unbedingt notwendig ist
- maximale Anzahl Verbindungen, Queries etc. beschränken, wenn es mehrere Benutzer gibt
- Backups, Backups, Backups, denn absolute Sicherheit gibt es nicht

Scripte mit SQL:
- keine Variablen ungeprüft in Queries einbauen, mysql_real_escape_string() ist Minimum


*) Das zwingt Programmierer, die DB-Zugangsdaten irgendwo zentral zu speichern, statt tausendfach im ganzen Code zu wiederholen. Diese zentrale Stelle mit minimalen Rechten außerhalb des DocRoots ablegen.

Lennie 08-09-2006 22:35

Ist es eigentlich Sinnvoll eine Geöffnete MySQL Verbindung am ende des Scriptes wieder zu schliessen?
Bis jetzt habe ich dies nicht getan.
Ist dies sicherer oder was für vorteile bringt dies mitsich?

jahlives 08-09-2006 22:53

Zitat:

Ist es eigentlich Sinnvoll eine Geöffnete MySQL Verbindung am ende des Scriptes wieder zu schliessen?
afaik macht das PHP selbst, wenn das Script durchgelaufen ist. Gleich wie das Freigeben von Mysql Ressourcen.

Gruss

tobi

Lennie 08-09-2006 23:01

Achso vielen Dank, wie kommt es denn dan aber, das in vielen Tutorial eigentlich in fast jeden was SQL behandelt ein Thema besteht, was das beenden der SQL Verbingung behandelt?
Dies Würde doch dann keinen Sinn machen, möglicherweise sogar die die scriptlaufzeit unnötig verlängern?

onemorenerd 09-09-2006 00:21

Frühzeitiges mysql_close() gibt Resourcen frei (RAM, max_connections).
Dein Code ist auch verständlicher, wenn man sieht, dass von nun an keine Daten oder Informationen mehr mit dem DB-Server ausgetauscht werden.

Lennie 09-09-2006 13:51

Wenn ich dich Verstanden habe, ist eine Anzeige wie z.b. Wieviele Querys man in den Jeweiligen Script benutzt hat nur möglich wenn voher die Verbingung Manuel also per mysql_close() geschlossen wurde?

onemorenerd 09-09-2006 15:29

Nein, das habe ich mit keiner Silbe gesagt.
Schau mal:
PHP-Code:

mysql_connect();
$count 0;
mysql_query();
$count++;
mysql_query();
$count++;
mysql_close();
// weiterer Code
echo $count

Wie du siehst, hält dich ein mysql_close() nicht davon ab, deine Queries mitzuzählen und irgendwann die Summe auszugeben.
Ich wollte mit meinem letzten Beitrag ausdrücken, dass nach mysql_close() im obigen Beispiel unter Umständen noch viel viel Code kommt. Ohne mysql_close() könnte MySQL den RAM, den diese Verbindung belegt hat, nicht anderweitig nutzen.
Außerdem kann ein MySQL-Server nur eine begrenzte Anzahl Verbindungen gleichzeitig führen. Je früher also das mysql_close() steht, desto eher kann MySQL eine weitere Verbindung von einem anderen Script (oder sogar dem selben ... parallele Requests) annehmen.

Lennie 09-09-2006 17:02

Ist in dieses Falle mit Verbindung gemeint zu einer Tabelle oder zu Einer Datenbank?

TobiaZ 09-09-2006 17:07

@Lenni: Wenn du mir zeigst, wie du dich mit einer Tabelle verbindest, dann darfst du diese Frage gerne nochmal stellen.

tmaniacr 09-09-2006 19:06

mann kann sich nur mit einer datenbank verbinden und darin befindliche tabellen behandeln^^

danke schonmal für die qualitativen antworten, hört aber bitte auf zu spammen.

das ganze soll ein informations-tread werden.

qualifizierte antworten & fragen.

dann macht mal weiter, schreibt alles was sicherheitsrelevant ist :)

mfg


Alle Zeitangaben in WEZ +2. Es ist jetzt 19:42 Uhr.

Powered by vBulletin® Version 3.8.2 (Deutsch)
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Search Engine Friendly URLs by vBSEO 3.3.0
[c] ebiz-consult GmbH & Co. KG