Visualizzazione risultati 1 fino 5 di 5
Like Tree1Likes
  • 1 Post By darbula

Discussione: Accesso al database sempre consentito

  1. #1
    alino74 non è connesso Utente giovane
    Data registrazione
    22-06-2009
    Messaggi
    38

    Predefinito Accesso al database sempre consentito

    Ciao raga!
    Utilizzando la funzione "mysqli_connect()" x connettermi al mio database,
    ho notato che è possibile inserire qualsiasi valore per 'localhost' ,'username' e 'password' senza che rilevi nessun errore. Basta solo che inserisca correttamente il nome del db.
    Perchè?

  2. #2
    mzanella non è connesso AlterGuru
    Data registrazione
    29-12-2015
    Messaggi
    1,954

    Predefinito

    Anche se sembra contro intuitivo, questa scelta aumenta la sicurezza del tuo account.

    Innanzitutto, questa connessione "senza parametri" è possibile solo dal tuo spazio web e solo verso il tuo database. Questo significa che l'unico pericolo reale si ha a condizione che un attaccante ottenga accesso al file system, o abbia per lo meno la possibilità di caricare ed eseguire un suo script PHP.
    In questo caso potrebbe, attraverso lo script da lui creato, connettersi liberamente alla base di dati ed estrarne, modificarne o cancellarne il contenuto.

    Il punto è che richiedere i parametri di connessione, sotto la stessa ipotesi di accesso al file system, non solo non aumenta in alcun modo la sicurezza, ma introduce un nuovo rischio.
    Il motivo è che, nel momento in cui un attaccante ottiene la possibilità di caricare ed eseguire uno script, diventa per lui molto facile crearne uno che "scansioni" il tuo file system alla ricerca di brani di codice in cui usi funzioni come mysqli_connect specificando nome utente e password.
    Appena ne trova anche solo una, ottiene automaticamente i tuoi nome utente e password.
    Può quindi utilizzarli per accedere alla base di dati (come nel caso precedente) ma, in più può anche servirsene per avere accesso completo al tuo account AlterVista: base di dati, file system, pannello di controllo, eccetera.

    Un po' contorto, ma funziona!

  3. #3
    alino74 non è connesso Utente giovane
    Data registrazione
    22-06-2009
    Messaggi
    38

    Predefinito

    Quindi, nei mie script, potrei usare la funzione x la connessione, indicando correttamente solo il nome del mio db?

    Esempio: ...mysql_connect("localhost", "nomeutente", 'password", "nome_corretto_mio_db")
    ?

  4. #4
    darbula non è connesso AlterGuru 2500
    Data registrazione
    24-04-2011
    Messaggi
    2,894

    Predefinito

    Si detto con altri termini... Puoi accedere al my_nick anche senza nome e password (nome e password inesistenti o sbagliate)
    mzanella likes this.

  5. #5
    alino74 non è connesso Utente giovane
    Data registrazione
    22-06-2009
    Messaggi
    38

    Predefinito

    ok capito grazie 1000

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •