CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede Slettet bruger
11. maj 2010 - 09:31 Der er 29 kommentarer og
1 løsning

Oprettelse af Mysql-forbindelse. Sikkerhedsrisiko?

Hej. Jeg er i gang med at lære lidt om databaser, og jeg har et sprøgsmål angående oprettelse af Mysql-forbindelsen. Når man opretter forbindelse til en database skal man skrive brugernavn og kode:

$con = mysql_connect("MINDATABASE","BRUGER","KODE");
if (!$con)
    {
    echo("Could not connect");
    }

   
mysql_select_db("MINDATABASE", $con);

Hvis nu vi forestiller os en ond hacker, som har et smart program, der kan downloade hele hjemmesider. Han vil kunne downloade alt indholdet på min hjemmeside, og finde en PHP-fil, som opretter forbindelse til en database. Så kan han kopiere kode og brugernavn, og gå ind i PHPmyAdmin, hvorefter han ret nemt vil kunne slette alle mine tabeller.

Er ovenstående en realitet, eller er det umuligt? I så fald vil det jo udgøre en stor sikkerhedsrisiko.
Avatar billede erikjacobsen Ekspert
11. maj 2010 - 09:49 #1
Det er et problem at man på fx et webhotel kan "komme til" at se hvad andre kunder har i deres PHP-filer - hvis det er sat forkert op.

Men når sider ses via webserveren er PHP-koden ikke længere synlig.
Avatar billede Slettet bruger
11. maj 2010 - 09:53 #2
Jeg kender en som downloadede mit websted uden problemer.
Avatar billede erikjacobsen Ekspert
11. maj 2010 - 11:54 #3
Ja, men "han" har ikke adgang til PHP-koden, når det hentes via webserveren.
Avatar billede Slettet bruger
11. maj 2010 - 17:40 #4
Vil det sige at han kun får den html-kode, som der er i php-filerne?
Avatar billede arne_v Ekspert
12. maj 2010 - 01:31 #5
Han får output fra PHP d.v.s. HTML + evt. embedded JavaScript.
Avatar billede Slettet bruger
12. maj 2010 - 14:22 #6
Det var mærkeligt. Jeg var overbevist om at det var muligt at downloade alt. Ham jeg kender havde et program som hentede alle filer ned, inklusive billeder. Men det kan åbenbart ikke lade sig gøre med php-filer?
Avatar billede arne_v Ekspert
12. maj 2010 - 14:35 #7
.html, .gif etc. henter originalen men for .php hentes output ikke kilde koden.
Avatar billede Slettet bruger
12. maj 2010 - 14:42 #8
Ok, tusind tak. Hvordan giver jeg dig point?
Avatar billede arne_v Ekspert
12. maj 2010 - 15:38 #9
Point burde jo tilfalde Erik, men ...
Avatar billede Slettet bruger
13. maj 2010 - 11:31 #10
Erik vil jo ikke have point, så det bliver dig der får dem...
Hvis du lige lægger et svar ind så jeg kan give point.
Avatar billede Slettet bruger
13. maj 2010 - 11:33 #11
Kender du forresten et program, som kan downloade alt indholdet på en hjemmeside? Jeg kunne godt tænke mig lige at teste min egen.
Avatar billede arne_v Ekspert
13. maj 2010 - 16:09 #12
svar
Avatar billede arne_v Ekspert
13. maj 2010 - 16:09 #13
Jeg kender kun command line tools som f.eks. wget.
Avatar billede Slettet bruger
13. maj 2010 - 16:13 #14
Er det så i cmd man bruger den, eller er det på linux?
Avatar billede arne_v Ekspert
13. maj 2010 - 16:21 #15
wget findes baad til Windows og Linux
Avatar billede Slettet bruger
13. maj 2010 - 16:51 #16
Jeg bruger Windows. Skal man så bare skive wget i cmd?
Avatar billede arne_v Ekspert
13. maj 2010 - 16:57 #17
Du skal foerste hente wget for Windows.

Og saa skal du lige checke parameterne der skal bruges.

wget -?

boer vise dem.
Avatar billede arne_v Ekspert
13. maj 2010 - 16:58 #18
F.eks. fra http://gnuwin32.sourceforge.net/packages/wget.htm
Avatar billede Slettet bruger
13. maj 2010 - 17:20 #19
Ok tak. Hvordan lukker man egentlig en tråd?
Avatar billede arne_v Ekspert
13. maj 2010 - 17:29 #20
Du har givet point, saa den er saa lukket som den kan blive.
Avatar billede Slettet bruger
13. maj 2010 - 17:39 #21
Okay. Hvordan downloader man hele indholdet af en mappe i wget. Når jeg skriver: wget http://www.hej.dk downloader den kun index-filen.
Avatar billede arne_v Ekspert
13. maj 2010 - 17:46 #22
Du skal bede den foelge links med -r !
Avatar billede Slettet bruger
14. maj 2010 - 11:56 #23
Det virker fint, men det lader til at den kun vil downloade fra mapper der er tilladt af robots.txt
Avatar billede Slettet bruger
14. maj 2010 - 12:05 #24
Okay, nu har jeg fået det til at virke: Man skal bare skrive -e robots=off
Avatar billede arne_v Ekspert
14. maj 2010 - 15:11 #25
Det er vel rimeligt at default er "paen opfoersel".
Avatar billede Slettet bruger
14. maj 2010 - 15:18 #26
Ja det må man jo nu indrømme. Det lader til at den ikke gider downloade php-filer når man bruger -r. Man skal selv skrive stien til den.
Avatar billede arne_v Ekspert
14. maj 2010 - 15:25 #27
Hvis der er et link til de PHP filer paa start siden, saa boer den ogsaa crawle dem.
Avatar billede Slettet bruger
14. maj 2010 - 16:30 #28
Hvad mener du med link? Jeg troede at den bare downloadede alle filer automatisk.
Avatar billede arne_v Ekspert
14. maj 2010 - 16:41 #29
Det er en crawler d.v.s. at den starter med start side, parser indholdet, requester alle (lokale) links, parser dem, requester deres links o.s.v..

Det er saadan man goer det.

Hvis der ikke er en index.* og web serveren derfor viser alle filer i en liste, saa faar man alle filer.

Men er der en index.*, saa er der ingen maade at vide at der ligger en given PHP fil hvis der ikke er et link til den.
Avatar billede Slettet bruger
15. maj 2010 - 12:42 #30
Okay
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Database management kurser
Computerworld tilbyder specialiserede kurser i database-management
Se alle Database management kurser

Flere spørgsmål fra MySQL kategorien

Titel Indlæg Oprettet Seneste aktivitet
Auto Faktura.. Af SommerFyr i MySQL 21 13/08/202415:08 15/08/202417:54
Hjemmeside med bruger login Af FennekTheFox i MySQL 3 22/06/202411:29 29/06/202409:13
mysqldump - encoding Af mergelspir i MySQL 3 19/03/202414:25 19/03/202415:21
søgning mellem to set variable.. Af SommerFyr i MySQL 12 05/03/202421:45 06/03/202416:41
Etablering af simpelt bookingsystem til udlån af musikudstyr Af Jesper i MySQL 5 29/01/202412:58 31/01/202411:04
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
13 min siden Trim tekst i batch script Af Dan Elgaard i Andet programmering
I går 18:39 Min HP deskjet 4260 skal erstattes. Af nu_igen i Printere
03/0917:14 klon din gamle disk ned på et virtuelt drev i w 10 Af edbjohn i Andre styresystemer
03/0916:36 Lenovo ThinkPad x395 som vil ikke starte Af lurup i PC
03/0915:33 Google Crome med div. vinduer Af eksmojo i Browsere
White papers
Flere white papers »


Premium
Teaser billede
Tvunget skift til Statens It har kostet Nationalmuseet dyrt: It-udgifter er blevet fordoblet
Læs mere »
Dom om få dage i kæmpe GDPR-sag mod Kræftens Bekæmpelse: Står over for bødekrav på 800.000 kroner
Her er de fire vigtigste trin, når din virksomhed skal i gang med en ERP-transformation
Forsikringsselskabet If vil ikke længere dække løsesum efter ransomware-angreb: Mener det skader Ifs omdømme
Se alle »
Computerworld
Teaser billede
Om en uge går det løs: Så banebrydende bliver iPhone 16
Læs mere »
Test af Tesla Model 3 Performance: Aldrig har man fået så meget sportsvogn til så få penge
Lokker med ’Nordens hurtigste internet’: Sådan ved du, om du kan få adgang til Danmarks nyeste bredbåndsudbyder
Vil erstatte halvdelen af sine ansatte med AI: De tilbageværende kan se frem til lønforhøjelser
Se alle »
CIO
Teaser billede
Selskab med 40.000 ansatte dropper VMware efter ballade - vælger anden løsning
Læs mere »
Norlys ramt af to nedbrud på et døgn: "Vi løber så stærkt, vi kan"
Professor: "Det er på høje tid at opløse virksomhedernes it-afdelinger"
Kommunerne brugte 6,6 milliarder kroner på it i 2023: Se top 10 over hvem der bruger flest penge
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
Professor: "Det er på høje tid at opløse virksomhedernes it-afdelinger"
KMD-direktør forlader selskabet: Det skal hun nu
Kom tæt på Danmarks nye digitaliserings-minister: 33-årige Caroline Stage Olsen er tidligere tobaks-lobbyist - har været aktiv i politik siden hun var helt ung
Se alle »
White paper
Teaser billede
Whitepaper: Komplet sikkerhedsguide til Kubernetes
Læs mere »
Informationshåndtering på frontlinjen: Sådan optimerer du med automatisering
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Sådan gør du: Elektronisk dokumentudveksling i praksis
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »