ασφάλεια mysql

Συζητήσεις για την βάση δεδομένων MySQL και το phpMyAdmin

Συντονιστές: WebDev Moderators, Super-Moderators

Απάντηση
trelamenos333
Δημοσιεύσεις: 26
Εγγραφή: 24 Σεπ 2011 03:03

ασφάλεια mysql

Δημοσίευση από trelamenos333 » 04 Σεπ 2013 21:13

Παιδία καλησπέρα,
Ενας επισκέπτης σε μια ιστοσελίδα μου η οποία έχει για βάση Mysql μου ανέφερε χωρίς να δώσει λεπτομέριες ότι βρήκε τρύπα στο σύστημα και για απόδειξη μου έστειλε τους κρυπρογραφιμένους κωδικούς απο ένα μου πίνακα!
Τι μπορώ να κάνω για να κλείσω αυτό την τρύπα στην βάση; Πως μπορεί κάποιος να δει τα δεδομένα της βάσης μου;
ΥΓ το site φιλοξενέιτε σε πολύ καλό server γνωστής ελληνικής εταιρείας hosting

Άβαταρ μέλους
_tasos
Δημοσιεύσεις: 116
Εγγραφή: 03 Μάιος 2007 15:06
Επικοινωνία:

ασφάλεια mysql

Δημοσίευση από _tasos » 04 Σεπ 2013 21:26

Μπορεί η τρύπα να μην είναι στη ΒΔ, αλλά στην ιστοσελίδα. Είναι κάποιο CMS ή custom κώδικας δικός σου;

Αν είναι κάποιο γνωστό CMS, φρόντισε να κάνεις upgrade στην τελευταία έκδοση, όπου υπάρχουν λιγότερα security issues.

trelamenos333
Δημοσιεύσεις: 26
Εγγραφή: 24 Σεπ 2011 03:03

ασφάλεια mysql

Δημοσίευση από trelamenos333 » 04 Σεπ 2013 22:24

dikos mou kodikas einai diko mou kai to cms..pes mou gia na katalavo...akoma kai an exo ego to problima pos mporei kapoios na traviksei dedomena apo ena pinaka mou..eidika ektelontas ena query to opoio ego den ektelo pouthena?

Άβαταρ μέλους
panxer
Δημοσιεύσεις: 113
Εγγραφή: 26 Ιουν 2011 20:29
Τοποθεσία: Athens, Greece
Επικοινωνία:

ασφάλεια mysql

Δημοσίευση από panxer » 04 Σεπ 2013 22:48

SQL injection, δες τί input παίρνεις και πώς το φιλτράρεις.
Για να απορείς πώς μπορεί να γίνει αυτό, φαντάζομαι ότι δεν ελέγχεις τίποτα. Καλύτερα κατέβασε το site μέχρι να το φτιάξεις.

Άβαταρ μέλους
korgr
Honorary Member
Δημοσιεύσεις: 5067
Εγγραφή: 07 Οκτ 2008 18:30
Τοποθεσία: Corinth
Επικοινωνία:

ασφάλεια mysql

Δημοσίευση από korgr » 04 Σεπ 2013 22:52

trelamenos333 έγραψε:dikos mou kodikas einai diko mou kai to cms..pes mou gia na katalavo...akoma kai an exo ego to problima pos mporei kapoios na traviksei dedomena apo ena pinaka mou..eidika ektelontas ena query to opoio ego den ektelo pouthena?
Ναι μπορεί, αν δεν προσέξεις και επιτρέπεις τα sql injections.
Ψάξε για sql injections και θα βρεις πολύ υλικό για να κλείσεις τις τρύπες ασφαλείας

Δες κάποια παραδείγματα εδώ:
http://www.unixwiz.net/techtips/sql-injection.html

Άβαταρ μέλους
nirvana
Δημοσιεύσεις: 241
Εγγραφή: 01 Σεπ 2005 18:28
Τοποθεσία: Αγ. Παρασκευή

ασφάλεια mysql

Δημοσίευση από nirvana » 07 Σεπ 2013 03:38

Οι περισσότερες γλώσσες (με την php να έχει αργήσει παρα πολύ :S) έχουν λύσει το πρόβλημα των sql injections εδώ και πολλά χρονια. Prepared statements. Ούτε περίεργα τρικ ούτε mambo jumbo που σου καταστρέφουν το readability του κώδικα.

Μπορείς να πάρεις μια ιδέα στο link που έδωσε ο korgr.

Αν χρησιμοποιείς php δες εδώ:
php.net/manual/en/pdo.prepared-statements.php

Απάντηση

Επιστροφή στο “MySQL”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες