Форум MySQL

Вобщем, что сказать... Начитался я статей всяких про SQL - инекции да всякое такое... И думаю, а нельзя ли без MySQL обойтись, ведь тогда вероятность взлома сайта резко уменьшается, да и вообще быстродействие увеличится. Ведь на самом деле, от этих SQL - инекций очень тяжело защитится, даже если версия MySQL ниже 4.0... Поэтому такой вопрос может ли WEB - сервер обойтись вообще без БД, т.е записывать всё что нужно в файлы, в конце концов к ним можно просто закрыть доступ... и всё. Или я чего - то не понимаю? И как ещё можно взломать скрипт?

Вы не правильный вывод сделали. Есди следовать вашей логике, то следует отказаться от электричества, потому что всегда есть вероятноть, что стукнет током и от этого очень трудно защитится.

Хороший, большой сайт сейчас не мыслим без баз данных. Базы данных хороши тем, что берут всю низкоуровневую работу с файлами на себя, предоставляя разработчикам лишь удобный интерфейс. Базы данных, в конце концов, те же самые файлы.
Да, можно все делать на файлах, но это значительно дольше и труднее. А допустить ошибку в коде проще.

>И как ещё можно взломать скрипт?
Передачей не предусмотренных параметров. SQL - инекции - это ведь тоже передача непредусмотренных параметров.
Если с базами данных вы формируете запрос к базе, то при работе с фалами вы будет осуществлять аналогичные действия, но применительно к файлам. И тут вам тоже могут подсунуть некорректный параметр, который нарушит работу вашего кода. Пусть название способа взлома будет другим, но сама суть остается такой же.

Вот в том то и дело, способов взлома дофига и больше, даже если ты предусмотришь все возможные недочёты, из-за которых (по крайней мере известных на сегодняшний день) можно потерять важную информацию, то всё равно будут появлятся всё новые и новые способы. Я конечно понимаю, что на большом сайте без БД не обойтись, но всё же, может быть можно свести её использование к минимуму. Вот скажите, на что и с какой целью чаще всего проводятся атаки?

> то всё равно будут появлятся всё новые и новые способы.
Это нормальное явление. Эволюция. Будут совершенствоваться способы защиты. На этом миллиарды зарабатываются. Это целая индустрия.

> Я конечно понимаю, что на большом сайте без БД не обойтись, но всё же, может быть можно свести её использование к минимуму.
Так ведь не в базах данных дело. Совсем не в них. Не это слабое звено. Наоборот, они защищены поболее чем большинство скриптов. Базы данных - это инструмент в руках разработчика. При этом - очень мощный инструмент. В этом его сила, и в этом его минус при неаккуратном использовании. Если разработчик правильно их использует, то это очень надежный инструмент. Если разработчик оставляет дыры, то сами базы данных в этом не виноваты.

И файлы - это не панацея от всех без. Наоборот, это увеличение сложности, уменьшение надежности и новые проблемы.
SQL-инъекции - просто модное разрекламированное слово. И это даже хорошо. Информации по ним уйма. А раз есть информация, то можно и защитится.

>Вот скажите, на что и с какой целью чаще всего проводятся атаки?
От нечего делать. Большиство атак проводятся именно по этой причине. Причем людьми, которые единственно на что способны - это скопировать код, который осуществляет взлом и вставить его в адресную строку.

Есть правда и хакеры. Но это другая история. Что бы они стали вас ломать должны быть причины:
1. Вы очень известны и взломать ваш сайт - это "круто"
2. Вас ненавидят, например, ваш сайт - microsoft.com, а вас зовут Билл Гейтс
3. Вас заказали, например, конкуренты.

Кстате, как раз пункты 1 и 3 - то чего я буду больше всего опасаться в будщем... Я ведь не фигнёй сижу занимаюсь, а серьёзным проэктом... А можете ли Вы сказать какой скрипт может обойтись и без БД? (т.е. где их использование - только проблема?)
Вы не ответили на вопрос? ЧТО чаще всего ломают и какими способами?

> А можете ли Вы сказать какой скрипт может обойтись и без БД? (т.е. где их использование - только проблема?)

И везде и ни где… В простых приложениях.
Вы некорректно ставите вопрос. На него нельзя ответить. Базы данных – это инструмент. Точно также можно поставить вопрос:
Можно ли обойтись без электрической дрели при ремонте в квартире? Конечно, можно. Но вы представляете что такое ручной дрелью сверить стены!?

> Вы не ответили на вопрос? ЧТО чаще всего ломают и какими способами?
Я не являюсь специалистом по взлому. И более того, вряд ли вам кто то ответит на этот вопрос более менее полно. Если бы методы взлома исчерпывались небольшим списком, то взлом бы исчез как класс.
Вы же сами сетовали, что способов взлома уйма. Так оно и есть.
Один признак я вам назвал: передача в скрипт некорректных параметров. Под это определение множество методов взлома можно отнести. Отсюда следует, что нужно тщательно проверять любой передаваемый в скрипт параметр. И не важно, что используется базы данных или файлы. Это уже не имеет никакого значения.

Т.е. защититься можно, как Вы говорите... И насколько я понял, множество способов защиты и взлома можно найти в сети... Я буду тщательно искать, но может быть вы знаете какой-нибудь ресурс, на котором эта проблема более полно раскрыта?
Кстате, а если у меня версия MySQL 3.24, то вероятность взлома ниже или выше? Я слышал в версиях ниже 4.0 отсутствуют некоторые параметры и функции... И что Вы посоветуете - оставить эту или обновить?
P.S. Я собираюсь брать сервер хостера в аренду - там надеюсь можно будет версию MySQL менять...

> Т.е. защититься можно, как Вы говорите...
Я имею ввиду, что это постоянная борьба между вами и взломщиками. Нельзя защитится один раз и на всегда. Нужно постоянно проводить мониторинг, изучать новые методы взлома, читать сообщения об обнаруженных ошибках в программном обеспечении.
А еще лучше постоянно проводить комплекс работ направленных на усиление и контроль безопасности. Я не могу сказать что нужно конкретно делать, так как не являюсь специалистом в этом вопросе, но общая суть такова.

> Кстати, а если у меня версия MySQL 3.24, то вероятность взлома ниже или выше? Я слышал в версиях ниже 4.0 отсутствуют некоторые параметры и функции... И что Вы посоветуете - оставить эту или обновить?

Опять же не изучая конкретно эту версию СУБД могу вот что рекомендовать. Не ставить самые новые версии ПО… любого, как минимум год после из выхода, а то и больше.
За это время большинство ошибок в ПО будет найдено и исправлено и уже тогда можно будет ставить стабильно-работающую версию.

В вашей теме http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=2348 я привёл ссылки на наши статьи и темы форума, обязательно почитайте первую статью и все ссылки, которые встретятся в ней по мере чтения, после этого вы получите более или менее полное представление о защите, а так же набор ключевых слов, по которым сможете продолжить поиск в сети. Будут вопросы - обязательно обращайтесь (Авторы статей и топиков всегда на форуме).

>Я ведь не фигнёй сижу занимаюсь, а серьёзным проэктом...
Хм.. а вы считаете, что все кто используют базы данных занимаются фигней? :)
Раз проект серьезный, то это еще один аргумент за базы данных.

Просто нужно обращать более тщательное внимание на защиту. Изучать методы взлома и методы защиты. Никто вам не перечислит полный список методов взлома и не скажет как от них защитится. Этим нужно серьезно заниматься и изучать. При чем делать это постоянно.

Если вас заказали конкуренты и при этом заплатили много денег, то очень большая вероятность что сайт взломают.
Не сломают ваши скрипты, так сломают хостера, не сломают хостера – подкупят админа хостера. Не смогут подкупить админа, выкрадут ваш компьютер и паролями.
Нет ничего невозможного.

Нужно предусмотреть такое развитие ситуации, чтобы свести негативные последствия к минимуму. Например, регулярно делать резервные копии.