niebezpieczny MySQL Opcje

[Chudy_]

Ponoc w bazie mysql zle napisane procedury do odczytow rekordow moga posluzyc jako odczytanie calej tabeli ?

np jest tabela z dwoma kolumnami login i haslo

formularz, ktory po wpisaniu hasla pojawia sie login

ponoc za jego pomoca mozna odczytac wszystkie hasla i loginy bez potrzeby znajomosci hasel.

Jak to mozliwe i jak sie przed tym zabezpieczyc?

[scanner]

1. Zacznij od początku.
2. "Ponoć" się zwykło podawać źródło informacji o którcy chce sie porozmawiać.
3. Pokaż działający przykład a nie "filozowywuj".

[dragossani]

Generalnie w kodzie MySQL nie ma w tej chwili ujawnionych groźnych dziur ale zawsze lepiej dmuchać na zimne. Proponuje lekturę u źródeł: http://www.mysql.com/doc/en/General_security.html albo nieco ogólnych porad z innego miejsca: http://www.linuxsecurity.com/feature_stori..._story-130.html. O tym, że nie należy ufać danym wprowadzanym przez użytkownika wiedzą raczej wszyscy. Niekoniecznie jednak zdajemy sobie sprawę jak zachowa się skrypt po wklepaniu zamiast loginu polecenia np. ; DROP DATABASE mysql. Dobrze sobie na wszelki wypadek poczytać o takich zabawach: http://www.webmasterworld.com/forum13/1753.htm.

[GeoS]

Koledze chyba raczej chodzilo o zabawy typu SQL-injections, ... .

To juz nie jest wina samego SQLa, ale zle napisanych skryptow, ktore go obsluguja.

Jakis czas temu w literaturze "fachowej" (powszechnie dostepnej na polkach w dziale komputery w Empikach) bylo kilka pomniejszych artykulow traktujacych na ten temat