Sicurezza database

Printable View

31-12-2008, 02.43.06
alemoppo

Sicurezza database

Ieri, mentre stavo scrivendo una pagina, mi è venuto questo dubbio:

IO, per collegarmi al mio db, utilizzo:
(non scrivo gli eventuali controlli di errore...)

Codice PHP:

$db=mysql_connect("localhost","alemoppo", ""); mysql_select_db("my_alemoppo",$db);

A questo punto, mi sono connesso al mio database e posso eseguire qualsiasi query. (:shock:anche eliminare cose nel database o modificarle:shock:).

Mi chiedevo: se un utente malintenzionato di AV scrivesse

Codice PHP:

$db=mysql_connect("localhost","debug", ""); mysql_select_db("my_debug",$db);

(ho scritto debug perchè è il primo che mi è venuto in mente!)

A questo punto il malintenzionato si è connesso al database di debug, no??.

Bene: a questo punto, PUO' MODIFICARE IL SUO DB:shock::shock::shock:

(direte: per eseguire query, è necessario conoscere il nome della tabella!... ma a questo, basta guardare un pò per il forum dove i vari utenti chiedono aiuto!!).

In definitiva: Esiste un controllo che dal mio sito non mi fa connettere ad un database di un altro utente?? {spero di sì:wink:}

Grazie,

Ciao!
31-12-2008, 03.11.23
darkwolf

Spero di non sbagliare ma credo che la connessione venga validata solo se effettuata dallo spazio che corrisponde al database.
In pratica io non posso eseguire query al tuo database dal mio spazio, per farlo sul tuo database devo prima poter caricare i files interessati sul tuo spazio
quindi un file.php che esegue una query su my_darkwolf può funzionare solo se uppato su darkwolf ecc ecc... :wink:
31-12-2008, 10.24.41

E' cosa risaputa che al proprio DB su altervista è possibile connettersi esclusivamente dall'account associato.
E' per questo che la connessione non necessita di password.

Ciao!
01-01-2009, 03.49.56
alemoppo

Ah, grazie per le risposte: mi sembrava che era una domanda stupidissima e scontata, ma quando la cosa riguarda la sicurezza...MEGLIO ESSERE SICURI:lol:

Grazie,

CIAO!