Hallo allemaal!
Kan iemand mij vertellen hoe veilig mysql is.
ik wil namelijk de raporten van een school online veranderbaar maken.
eerste een inlog systeem er voor natuurlijk.
Hoe veilig is dit?
Gr Johan
1.356 views
MySQL is wel veilig.
Er zal hooguit een probleem ontstaan wanneer je niet veilig programmeerd.
Er zal hooguit een probleem ontstaan wanneer je niet veilig programmeerd.
en noem is een paar dingen die niet veilig zouden kunnen zijn:
ingevoerde data onbeveiligd in de database stoppen.
$_GET variabelen onbeveiligd laten.
Als "root" in MySQL inloggen.
$_GET variabelen onbeveiligd laten.
Als "root" in MySQL inloggen.
- dom loginsysteem hanteren (geen ww in cookies, ip-gebonden gaat niet werken, heel de school heeft voor buitenwereld meestal hetzelfde IP, sessie-id bij iedere aanvraag veranderen, altijd moeten inloggen en geen remember-pw functie? Lijkt mij de meest veilige oplossing)
- de bekende veiligheidslekken (XSS, MySQL Injection)
- te veel informatie vrijgeven (errors, .inc en .ini bestanden die je kan aanvragen)
- overal hetzelfde en korte wachtwoord hanteren (onderschat het niet >:) )
- het bekende rijtje?
- en vergeet phpmyadmin niet te beveiligen/verwijderen.
Verder zou ik in zo'n geval altijd een soort van revisie-systeem hanteren, zodat je bij kan houden die wat heeft veranderd en belangrijker je het eventueel terug kan draaien. Kan je ook achterhalen waar het lek eventueel zit, welke docent zijn ww moet veranderen.
- de bekende veiligheidslekken (XSS, MySQL Injection)
- te veel informatie vrijgeven (errors, .inc en .ini bestanden die je kan aanvragen)
- overal hetzelfde en korte wachtwoord hanteren (onderschat het niet >:) )
- het bekende rijtje?
- en vergeet phpmyadmin niet te beveiligen/verwijderen.
Verder zou ik in zo'n geval altijd een soort van revisie-systeem hanteren, zodat je bij kan houden die wat heeft veranderd en belangrijker je het eventueel terug kan draaien. Kan je ook achterhalen waar het lek eventueel zit, welke docent zijn ww moet veranderen.
woke, dat klinkt dus best veilig;)
MySQL is zo veilig als je het zelf maakt, als je rekening houd met SQL injection en alle $_POST en $_GET waardes controleerd zou het veilig moeten zijn.
Gebruik SSL is zeker veilig met GET en POST..
SQL-injection via SSL is inderdaad uitermate veilig! 'hacken met condoom' zal ik maar zeggen...Tommy schreef op 25.06.2007 10:11Gebruik SSL is zeker veilig met GET en POST..
De veiligheid van de database hangt vooral af van de programmeur en de dba. Wanneer de programmeur een slecht script heeft gemaakt, dan is het een fluitje van een cent om de boel te hacken. Wanneer de DBA de boel slecht heeft ingericht (80% van de MySQL-hostingproviders?) dan kun je via andermans scripts de boel gaan hacken. Dan ben je als hacker zelfs niet meer afhankelijk van de kunsten van 1 programmeur! Wat wil je nog meer.
Dit heeft overigens niet al te veel met MySQL te maken, dit is altijd het geval met een slecht ingerichte database. Bij een abonnement van hooguit enkele euro's per maand, hoef je dus geen wonderen te verwachten. Dit is gewoon specialistenwerk. En die kosten nu eenmaal een flinke bom duiten.
- Dagelijks, of zelfs uurlijks back-ups maken, die met één klik (gedeeltelijk) teruggezet kunnen worden.
- Sessie ID per pagina vernieuwen.
- Met AJAX elke 10 seconden de tijd in de sessie-tabel updaten, waaneer je 30 seconden niet actief bent uitloggen.
- Per gebruiker maar één sessie tegelijk.
- Anti-flood systeem voor niet ingelogde gebruikers, bijvoorbeeld maximaal 4 pagina's per minuut.
- Controle indien er een heleboel cijfers, of allemaal cijfers van één leerling bewerkt worden. Een leraar zal niet zo snel 10 cijfers in één klas moeten bewerken, of één persoon allemaal hogere cijfers geven.
- Sessie ID per pagina vernieuwen.
- Met AJAX elke 10 seconden de tijd in de sessie-tabel updaten, waaneer je 30 seconden niet actief bent uitloggen.
- Per gebruiker maar één sessie tegelijk.
- Anti-flood systeem voor niet ingelogde gebruikers, bijvoorbeeld maximaal 4 pagina's per minuut.
- Controle indien er een heleboel cijfers, of allemaal cijfers van één leerling bewerkt worden. Een leraar zal niet zo snel 10 cijfers in één klas moeten bewerken, of één persoon allemaal hogere cijfers geven.
- Met AJAX elke 10 seconden de tijd in de sessie-tabel updaten, waaneer je 30 seconden niet actief bent uitloggen.Dit is zeker als grap bedoelt? Zet dat er voortaan in elk geval wel bij, het kan anders verkeerd worden begrepen. Het is namelijk onzin van de bovenste plank.