Главная страницаСоздание сайтовБлог Кузнецова М.В.Статьи о PHPPHP-скриптыСтатьи об ApacheФорум С++КонсультацииФорум "Про Жизнь"
Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
Социальная инженерия и социальные хакеры. Авторы: Кузнецов М.В., Симдянов И.В. PHP Puzzles. Авторы: Кузнецов М.В., Симдянов И.В. Самоучитель PHP 5 / 6 (3 издание). Авторы: Кузнецов М.В., Симдянов И.В. PHP на примерах (2 издание). Авторы: Кузнецов М.В., Симдянов И.В. MySQL 5. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ 		Консультационный центр SoftTime

Форум MySQL
Вход  Регистрация  Список форумов  Живой форум  Архив  RSS-канал  Правила форума  Участники "Online"  Все участники

Выбрать другой форум

 

Здравствуйте, Посетитель!

 Новая тема

 Поиск

  Список тем

вид форума:
Линейный форум Структурный форум

тема: База test - дырка в защите?

следующая тема
 
 автор: Loki   (06.12.2005 в 13:31)   письмо автору
  
 

есть на одном из хостингов, есть БД test (как я понимаю, создается она автоматически). Прописан к ней доступ для нескольких юзеров (root, admin и пр.)
есть два юзера, для которых доступ к этой базе не прописан:
user
user2
Получаются странные вещи:
user2 получает доступ к базе test под своим логином и паролем.
user не может законнектится к базе из скриптов но (!) через phpmyadmin ему удается выполнять sql команды (при этом phpmyadmin брыкается, говорит что прав доступа нет, очень тормозит, но в итоге все работает).

В общем, ситуация кажется мне странной: если test по умолчанию открыта для всех, то что за фигня с user, а если нет, то как подобное происходит?

   
 
 автор: cheops   (06.12.2005 в 19:47)   письмо автору
  
   для: Loki   (06.12.2005 в 13:31)
 

А user2 с ней может работать и из скриптов?
А как вообще эта база в phpMyAdmin видна - там же обычно отображаются только базы пользователя?

   
 
 автор: Loki   (06.12.2005 в 19:57)   письмо автору
  
   для: cheops   (06.12.2005 в 19:47)
 

user2 - может
user - нет
Если в phpmyadmin в настройках не указывать явно название базы, то выведет все доступные. В моем случае выводит test для обоих пользователей.

   
 
 автор: cheops   (06.12.2005 в 20:37)   письмо автору
  
   для: Loki   (06.12.2005 в 19:57)
 

Хм... ну это наверное ошибка или тестирование, хотя ситуация с доступом разных юзеров к одной базе совершенно не понятна...
У нас хостер облюбовал наш аккаунт для тестов, почему не был выделен другой аккаунт совершенно не понятно (а может тоже такая же дыра был)... но в один прекрасный момент мы увидели дополнительную базу данных, которую тут же использовали, шли месяцы, мы уже забыли, что она нам на халяву досталась. Отладили на ней сайт и поехали сдавать его заказчику... именно в этот момент хостер решил удалить эту базу данных. В общем мне за пол часа пришлось воссоздавать контент в соседней базе и перенастраивать код :))) Это я к тому, что лучше ничего ценного в этой тестовой базе на храните - тем более если к ней имеют доступ несколько пользователей...

   
 
 автор: Loki   (06.12.2005 в 21:59)   письмо автору
  
   для: cheops   (06.12.2005 в 20:37)
 

На самом деле, хостер сам удивлен таким поведением сервера:)

А меня заинтересовало другое: если рядовым скриптам из под user подключиться к базе не удается, то как это ограничение обходит phpmyadmin?

   
 
 автор: cheops   (07.12.2005 в 13:12)   письмо автору
  
   для: Loki   (06.12.2005 в 21:59)
 

phpMyAdmin из под root MySQL-сервера скорее всего запущен или сваливается в этот режим... А уязвимости насколько я слышал в нём тоже регулярно находят.

   
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования