Homepage selbermachen 7.852 Themen, 35.619 Beiträge

Verfolgung starten Optionen

MySQL und Sicherheit: User anlegen

Minesweeper XL / 3 Antworten / Baumansicht Nickles

Hallo.

Ich habe einen Webspace bei Manitu.de und plane eine Homepage mit PHP und MySQL zu erstellen. Es ist möglich den MySQL-Account bei dem Anbieter zu nutzen und ich kann auch mit dem dortigen PHPmyAdmin ganz toll Tabellen und Inhalte erstellen. Mein Problem ist aber eher ein Sicherheitstechnisches:
Ich will nicht die Daten des Admin Accounts als Variablen in einer PHP Datei auf dem Server ablegen, damit bei jedem Seitenaufbau auch tatsächlich aus der Datenbank die Daten ausgelesen werden können.
Also muss ein User-Account her. Doch wie stelle ich das an?
Lokal auf meinem Rechner kann ich die Tests mit PHPmyAdmin prima laufen lassen, denn da existiert auch ein Button um einen neuen User mit eingeschränkten Rechten zu erstellen. Bei meinem Anbieter im Internet existiert dieser nicht. Wie kann ich dennoch User anlegen? Evtl. ohne PHPmyAdmin? Der MySql Befehle "Create User" wird unter der PHPMyAdmin-SQL-Eingabe mit einer Fehlermeldung Quittiert.
Wie machen das fertig vor Konfigurierte Foren usw.? Wie legen die zusätzliche User an?

Gruß
Minesweeper XL

bei Antwort benachrichtigen
Borlander Minesweeper XL „MySQL und Sicherheit: User anlegen“
Optionen

Vermutlich kannst Du keinen weiteren User anlegen, bei den üblichen einfachen Webspace angeboten bekommst Du nur genau einen (eingeschränkten) MySQL-User zu Deiner Verwendung - der dann auf alle Tabellen in Deiner Datenbank vollen Zugriff hat (auf fremde natürlich nicht).
Was Du natürlich machen kannst, ist die entsprechenden Variablen in ein config-Script auslagern, daß Du ausserhalb des Webserver-Verzeichnisses plazierst, oder die Config-Datei zumindest in einen per htaccess nach außen gesicherten Ordner legst (das hilft zumindest dabei besser zu schlafen ;-). Selbst wenn jemand an die Daten kommen sollte: Normalerweise sollte der User ausschließlich Zugriff von Localhost (also dem Webserver selbst erhalten), wenn Du böse Sicherheitslücken in Deinen Scripten hast könnte man natürlich immer noch was böses mit anstellen - dann ist es allerdings auch egal an welcher Stelle die Werte gespeichert sind....


Gruß
Borlander

bei Antwort benachrichtigen
Minesweeper XL Borlander „Vermutlich kannst Du keinen weiteren User anlegen, bei den üblichen einfachen...“
Optionen

Danke für Deine rasche Antwort.
Ich hoffe ich habe das richtig verstanden:
Wenn ich so ein vorgebasteltes Forum wie z.B. bbPHP auf einem Webspace einrichte, wird also gar nicht jeder Foren Account über ein separaten MySQL Account geführt, sondern die Rechtevergabe findet auf PHP-Ebene statt.?

Ok, dann bin ich da immer von der falschen Grundüberlegung ausgegangen.
Das mit der Config Datei über htaccess klingt gut. Eine solche Datei hab ich bereits erstellt, aber mit dem htaccess kenne ich mich noch nicht aus. Ich werde mich aber mal belesen bevor ich weitermache. Ich würde einfach blind losgooglen. Evtl. hast Du einen guten Tipp, der mich schon gleich in die richtige Richtung bringt.

Gruß
Minesweeper XL

bei Antwort benachrichtigen
Borlander Minesweeper XL „Danke für Deine rasche Antwort. Ich hoffe ich habe das richtig verstanden: Wenn...“
Optionen
Wenn ich so ein vorgebasteltes Forum wie z.B. bbPHP auf einem Webspace einrichte, wird also gar nicht jeder Foren Accountbild über ein separaten MySQL Account geführt, sondern die Rechtevergabe findet auf PHP-Ebene statt.?
Jepp, für jeden einen neuen MySQL-User wäre auch mist - fängt schon damit an, daß man MySQL zur Änderung von Userrechnen neustarten muß (oder inzwischen musste?). Auch können die Rechte bei MySQL auch nicht feiner als für einzelne Tabellenspalten zugewiesen werden. Für jeden Datensatz eine extra Berechtigung wäre auch ziemlich unpraktisch und vor allem der Performance alles andere als zuträglich ;-)

Zu htacces: http://de.selfhtml.org/servercgi/server/htaccess.htm


Gruß
Borlander
bei Antwort benachrichtigen