SQL sicher machen, aber wie?

**onemorenerd** · 08.09.2006, 12:04

DB-Serverkonfig:
- kein Zugang über Netzwerk außer von localhost
- kein anonymer Zugang, Defaultuser nach Installation löschen
- keine Benutzernamen/Passwörter, die man erraten kann
- regelmäßig neue Passwörter vergeben*
- minimale Berechtigungen: jedem User nur das erlauben, was unbedingt notwendig ist
- maximale Anzahl Verbindungen, Queries etc. beschränken, wenn es mehrere Benutzer gibt
- Backups, Backups, Backups, denn absolute Sicherheit gibt es nicht

Scripte mit SQL:
- keine Variablen ungeprüft in Queries einbauen, mysql_real_escape_string() ist Minimum

*) Das zwingt Programmierer, die DB-Zugangsdaten irgendwo zentral zu speichern, statt tausendfach im ganzen Code zu wiederholen. Diese zentrale Stelle mit minimalen Rechten außerhalb des DocRoots ablegen.

**Lennie** · 08.09.2006, 20:35

Ist es eigentlich Sinnvoll eine Geöffnete MySQL Verbindung am ende des Scriptes wieder zu schliessen?
Bis jetzt habe ich dies nicht getan.
Ist dies sicherer oder was für vorteile bringt dies mitsich?

**jahlives** · 08.09.2006, 20:53

Ist es eigentlich Sinnvoll eine Geöffnete MySQL Verbindung am ende des Scriptes wieder zu schliessen?

afaik macht das PHP selbst, wenn das Script durchgelaufen ist. Gleich wie das Freigeben von Mysql Ressourcen.

Gruss

tobi

**Lennie** · 08.09.2006, 21:01

Achso vielen Dank, wie kommt es denn dan aber, das in vielen Tutorial eigentlich in fast jeden was SQL behandelt ein Thema besteht, was das beenden der SQL Verbingung behandelt?
Dies Würde doch dann keinen Sinn machen, möglicherweise sogar die die scriptlaufzeit unnötig verlängern?

**onemorenerd** · 08.09.2006, 22:21

Frühzeitiges mysql_close() gibt Resourcen frei (RAM, max_connections).
Dein Code ist auch verständlicher, wenn man sieht, dass von nun an keine Daten oder Informationen mehr mit dem DB-Server ausgetauscht werden.

**Lennie** · 09.09.2006, 11:51

Wenn ich dich Verstanden habe, ist eine Anzeige wie z.b. Wieviele Querys man in den Jeweiligen Script benutzt hat nur möglich wenn voher die Verbingung Manuel also per mysql_close() geschlossen wurde?

**onemorenerd** · 09.09.2006, 13:29

Nein, das habe ich mit keiner Silbe gesagt.
Schau mal:

PHP-Code:


mysql_connect();

$count = 0;

mysql_query();

$count++;

mysql_query();

$count++;

mysql_close();

// weiterer Code

echo $count;

Wie du siehst, hält dich ein mysql_close() nicht davon ab, deine Queries mitzuzählen und irgendwann die Summe auszugeben.
Ich wollte mit meinem letzten Beitrag ausdrücken, dass nach mysql_close() im obigen Beispiel unter Umständen noch viel viel Code kommt. Ohne mysql_close() könnte MySQL den RAM, den diese Verbindung belegt hat, nicht anderweitig nutzen.
Außerdem kann ein MySQL-Server nur eine begrenzte Anzahl Verbindungen gleichzeitig führen. Je früher also das mysql_close() steht, desto eher kann MySQL eine weitere Verbindung von einem anderen Script (oder sogar dem selben ... parallele Requests) annehmen.

**Lennie** · 09.09.2006, 15:02

Ist in dieses Falle mit Verbindung gemeint zu einer Tabelle oder zu Einer Datenbank?

**TobiaZ** · 09.09.2006, 15:07

@Lenni: Wenn du mir zeigst, wie du dich mit einer Tabelle verbindest, dann darfst du diese Frage gerne nochmal stellen.

**tmaniacr** · 09.09.2006, 17:06

mann kann sich nur mit einer datenbank verbinden und darin befindliche tabellen behandeln^^

danke schonmal für die qualitativen antworten, hört aber bitte auf zu spammen.

das ganze soll ein informations-tread werden.

qualifizierte antworten & fragen.

dann macht mal weiter, schreibt alles was sicherheitsrelevant ist

mfg

SQL sicher machen, aber wie?