mysql sicherheit

Apache, Lighttpd, nginx, Cherokee
royal1177
Posts: 31
Joined: 2007-12-14 19:48

mysql sicherheit

Post by royal1177 » 2007-12-18 19:45

hallo,

ich habe den DB und den WEB Server getrennt.
Wenn es nun allerdings jemand schafft, den Web Server zu übernehmen, hat er ja leichtes spiel, auch an den DB Server zu kommen - indem er einfach die SQL Passwörter aus der PHP Datei ausliest.

Gibt es eine Möglichkeit sich in der Beziehung noch weiter zu schützen ?


mfg

miker
Posts: 64
Joined: 2005-03-26 13:33
Location: Wildeshausen

Re: mysql sicherheit

Post by miker » 2007-12-18 19:54

Nein, wenn ein PHP-Script Zugriff auf die DB haben soll, wird auch der erfolgreiche Angriff auf deinen Webserver zwangsläufig dazu führen, dass der Angreifer Zugriff auf deine Datenbank bekommt.

royal1177
Posts: 31
Joined: 2007-12-14 19:48

Re: mysql sicherheit

Post by royal1177 » 2007-12-18 19:56

ja muss ja leider - sonst ist halt kein connect möglich :-/

miker
Posts: 64
Joined: 2005-03-26 13:33
Location: Wildeshausen

Re: mysql sicherheit

Post by miker » 2007-12-18 20:13

Genau, also ist dein Job dafür zu sorgen, dass niemand bis zu diesem Punkt kommt. :-D

sycronic
Posts: 24
Joined: 2005-10-26 11:18

Re: mysql sicherheit

Post by sycronic » 2007-12-19 07:21

verschlüssel die php-scripts doch einfach (zend)

royal1177
Posts: 31
Joined: 2007-12-14 19:48

Re: mysql sicherheit

Post by royal1177 » 2007-12-19 08:27

wenn jemand drauf ist , bringt mir das auch nix mehr :-/

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: mysql sicherheit

Post by flo » 2007-12-19 09:14

royal1177 wrote:wenn jemand drauf ist , bringt mir das auch nix mehr :-/


Mööp - zuerst verschlüsseln, dann Hacker drauf lassen ist die Reihenfolge ... nicht umgekehrt ;-)

Der Zend Encoder wandelt das Script vor dem FTP-Transfer um - schnelle Fixes direkt auf dem Server sind damit passe, ist aber auch der einzige Nachteil außer dem Preis - AFAIR.

(ist jetzt 5 Jahre her, da kann einiges passiert sein!)

konqui
Posts: 9
Joined: 2007-12-25 10:37

Re: mysql sicherheit

Post by konqui » 2007-12-25 10:58

flo wrote:Der Zend Encoder wandelt das Script vor dem FTP-Transfer um - schnelle Fixes direkt auf dem Server sind damit passe, ist aber auch der einzige Nachteil außer dem Preis - AFAIR.

(ist jetzt 5 Jahre her, da kann einiges passiert sein!)


Naja Zend Encoder mag eine Lösung sein aber keine wirkliche Alternative :). Abgesehen davon wenn der Webserver schon mal gehackt wurde kommt der Angreifer noch in die DB in der die Infos stehen. Weiter aber nicht. Zumindest sollte er nicht :). Solange du auf dem DB Server dann noch ein Backup von der DB hast kannst du das relativ schnell wieder herstellen.

Ich würde wie schon geschrieben mehr sorgen machen das überhaupt jemand auf den Webserver kommt. Wenn das schon passiert ist ist der Rest nicht so schlimm :)