SQL Datei - Sicherheitsrisiko?

Gehe zu Seite:

Geschlossen

Di. 02.12.2008 12:29 Uhr #1

Flomavali gelöschter User

Nehmen wir mal an, ich lasse eine SQL Datei auf meinem Server, um diese mal aus dem Adminbereich auszuführen.

Ein normaler User kann mit dieser Datei nun doch nichts anfangen, oder?

Stellt dies ein Sicherheitsrisiko dar? Ich meine, nicht. .....

verwendete ilchClan Version: 1.1
0 Mitglieder finden den Beitrag gut.
- zitieren
Di. 02.12.2008 15:19 Uhr #2

boehserdavid Mitglied

Registriert seit
26.08.2006

Beiträge
2.122

Beitragswertungen

Hey, Flomavali!

Eine reine Textdatei mit SQL Befehlen, jein. Stehen dort die richten Tabellen drin, also mit richtigem Namen, dann vielleicht, weil man so deine DB Struktur sieht und auf potenzielle Fehler im Script schaut.

Steht da mehr drin als nur SQL Befehle like "select * from table" z.B. DB Name usw. wird es wohl schon etwas Riskanter.

Lass niemals SQL Dateien auf dem Server, es sei denn sie sind geschützt, also der direkte Zugriff dadrauf ist geschüzt. (geht mit htaccess)

Mit böhsen Grüßen
BöhserDavid

-Heute schon böhse gewesen?- Ab zur Community
-No Support via Contact-
0 Mitglieder finden den Beitrag gut.
- zitieren
Di. 02.12.2008 15:38 Uhr #3

Ithron Hall Of Fame

Registriert seit
21.01.2006

Beiträge
2.659

Beitragswertungen

Als Webmaster musst du jeden User als böse einstufen und nicht eventuelle Risiken überlassen.

Deswegen niemals einem Angreifer auch nur die geringste Chance lassen (und gerade in SQL Dateien können Schwachstellen oder sogar Zugangsdaten preisgegeben werden).

Zitat geschrieben von loW

Ja ich habs gesehen und wenn ichs kostenlos bekomm dann zahl ich doch nix dafür oder?
0 Mitglieder finden den Beitrag gut.
- zitieren
Di. 02.12.2008 15:39 Uhr #4

Flomavali gelöschter User

Na ja. Ich arbeite an einem Modul und möchte nun, eine deinstallation.sql haben und diese nicht direkt in die Datei reinschreiben.

Kann man es so einrichten, dass die Datei nicht aufgerufen werden kann? Natürlich aber von PHP!
0 Mitglieder finden den Beitrag gut.
- zitieren
Di. 02.12.2008 15:43 Uhr #5

Flomavali gelöschter User

Es werden ja keine Daten über Datenbank bekannt. Ist ja für ein Modul. Und da kann ja eig. jeder die SQL downloaden von ilch...
0 Mitglieder finden den Beitrag gut.
- zitieren
Di. 02.12.2008 16:32 Uhr #6

Flomavali gelöschter User
Bringt das hier vielleicht etwas?
```
<FilesMatch "\.sql$">
deny from all
</FilesMatch>
```
Oder zu unsicher?
0 Mitglieder finden den Beitrag gut.
- zitieren
Di. 02.12.2008 16:34 Uhr #7

Son!c Hall Of Fame

Registriert seit
14.09.2006

Beiträge
3.766

Beitragswertungen

du könntest das ganze als php machen ... also dein ganzes sql zeug per php ausgeben weil php datein kann keiner einfach so lesen

Nimm das Leben nicht zu ernst, du kommst sowieso nicht lebend raus.
0 Mitglieder finden den Beitrag gut.
- zitieren
Di. 02.12.2008 17:38 Uhr #8

Flomavali gelöschter User

Das weiß ich doch! Nur brauche ich das wirklich als sql Datei!
0 Mitglieder finden den Beitrag gut.
- zitieren
Mi. 03.12.2008 08:29 Uhr #9

boehserdavid Mitglied

Registriert seit
26.08.2006

Beiträge
2.122

Beitragswertungen
```
<FilesMatch ".sql$">
deny from all
</FilesMatch>
```
Wäre eine Möglichkeit, mit ModRewrite geht es auch.

Warum braucht man eine SQL Datei? Die macht eigentlich nur Sinn, wenn man einen ganzen Haufen an SQL Abfragen hat, aber für einen Mod sinnlos.
Bei einem Mod sind es maximal 10 Abfragen, dafür ne sql anzulegen ist überflüssig und nicht empfehlenswert für unwissende User, bzw. erschwert es die Installation/Bereinigung für DAU's.
-Heute schon böhse gewesen?- Ab zur Community
-No Support via Contact-
0 Mitglieder finden den Beitrag gut.
- zitieren
Mi. 03.12.2008 15:41 Uhr #10

Flomavali gelöschter User

Welchen Sinn das hat, wirst Du bald an meinem neuem Modul feststellen. Danke.
0 Mitglieder finden den Beitrag gut.
- zitieren

Beitrag zur Merkliste hinzufügen

ilch Forum » Allgemein » HTML, PHP, SQL,... » SQL Datei - Sicherheitsrisiko?