Remote MySQL connection

Imam jedno pitanje:
nisam web developer nego web dizajner i imam problem:
postoji na serveru već postojeća baza podataka. Sad bi trebalo napraviti web stranicu i povezati je s tom postojećom bazom podataka.
Pitanje 1: Koliko je to posla s obzirom na slučaj kad se mora sve napraviti tj. i web stranica i baza podataka? Da li je to cca 1/2 posla? Povezivanje bi se vršilo preko Remote MySQL connection.
Molim da mi netko to malo pojasni.
Hvala.

ovisi dosta kako se baza puni, ako se baza puni kroz neke druge izvore, a ne kroz stranicu onda je dosta posla odrađeno i treba “samo” isprogramirati prikaz tih podataka iz baze, sad bez konkretnih podataka nitko ne može reči točno koliko posla je obavljeno…

[quote=“acer”]Pitanje 1: Koliko je to posla s obzirom na slučaj kad se mora sve napraviti tj. i web stranica i baza podataka? Da li je to cca 1/2 posla?
[/quote]

Ovisi. Moze biti i manje od pola posla, a moze biti i vise od pola posla.

To generalno nije dobra praksa i predstavlja veliki sigurnosni rizik.

ja sam to uradio pomoću freeware MySQL PHP Generator…sa istim je urađena i login stranica…koliko je to zapravo zaštićeno, nemam pojma, ali stvar funkcionira…

Koja je dobra praksa kod takovih problema?
acer

Možda nisam bio baš najjasniji kad sam postavio pitanje:“koja je dobra praksa kod takovih problema” ali sam mislio na to da se ne koristi Remote MySQL connection. Kako bi trebalo to obaviti a da bude “kako bog zapovijeda”? Inače, da pojasnim pitanje na početku, radi se o tome da se baza puni preko stranice.

[quote=“ivan.skugor”]
To generalno nije dobra praksa i predstavlja veliki sigurnosni rizik.[/quote]

zašto preko remotea nije dobra praksa i predstavlja veliki sigurnosni rizik? može neki link tekst? nisam nešto proučavao ovo, ali mi nije jasno previše zašto bi to predstavljalo veliki sigurnosni rizik, a niti ovo za dobru praksu isto ne kužim, ponavljam nisam se previše bavio tim pitanjem, ali ne vidim razloga zašto to ne bi bilo dobro…

[quote=“acer”]Koja je dobra praksa kod takovih problema?
acer[/quote]

… napraviti skriptu koja radi sta je potrebno i sve raditi preko nje.

Pa, prva stvar je sta nemas SSL, odnosno tajnost po defaultu. Druga stvar, moze se brute force-om pokusati doci do passworda, a tim do vise manje privilegije da napadac moze izvesti bilo koji SQL (osim ako se drugacije ne iskonfigurira). Cak i da postoji SSL i da se baza iskonfigurira kako spada, svejedno to nije dobro jer postoje metode da i to “zaobidju”. Vjerovatno ima jos razloga, mozes mozda na Google-u nac … ja nemam neki link. To se inace uci i na faksu, a djelom i u firmi ako joj je stalo do sigurnosti. :wink:
A sta se tice mapiranja, ako stavis npr. “name” atribut input polja da se zove kao neko polje u bazi, npr. “users”, olaksavas napadacu generiranje malicioznog SQL-a. Ako on ne zna strukturu baze, odnosno imena tablica, on ih mora pogadjati, a time mu otezavas posao.

[quote=“ivan.skugor”]Pa, prva stvar je sta nemas SSL, odnosno tajnost po defaultu. Druga stvar, moze se brute force-om pokusati doci do passworda, a tim do vise manje privilegije da napadac moze izvesti bilo koji SQL (osim ako se drugacije ne iskonfigurira). Cak i da postoji SSL i da se baza iskonfigurira kako spada, svejedno to nije dobro jer postoje metode da i to “zaobidju”. Vjerovatno ima jos razloga, mozes mozda na Google-u nac … ja nemam neki link. To se inace uci i na faksu, a djelom i u firmi ako joj je stalo do sigurnosti. :wink:
A sta se tice mapiranja, ako stavis npr. “name” atribut input polja da se zove kao neko polje u bazi, npr. “users”, olaksavas napadacu generiranje malicioznog SQL-a. Ako on ne zna strukturu baze, odnosno imena tablica, on ih mora pogadjati, a time mu otezavas posao.[/quote]

SSL se podrazumijeva, lozinka za bazu mora biti dobra, tako da brute force ne dolazi u obzir, a mislim da i lako postaviš pravilo 3 pogrešna passworda s ip-a blockaj ip, ista imena polja i u bazi i ne predstavljaju problem ako se netko ne može opće povezat na bazu, a i ne vidim nešto da bi to utjecalo između remote i local pristupa…
mene zanimaju ove metode koje bi to mogle “zaobići” :smiley:

Siroka je to tema. Na internetu, sve mozes lazirati (pocevsi od MAC i IP adrese). :wink:

mjenjanje ip adrese se može preko proxyja i sumnjam da bi brute force tu uspio, dapače sa svakom normalnijom šifrom i da ne blokaš ip brute force bi bio uzaludan, tak da ti niti ovo previše ne nosi vodu :slight_smile:

:krele:

Pretpostavka ti nije tocna (jer to nije jedini nacin), pa tako ni zakljucak. A u ostalom, malo razmisli zasto su banke i sl. institucije kojima je sigurnost bitna, osigurane sa malih milijun zastita (a direktno bazi ne mozes ni u kom slucaju pristupiti). :wink:

Pretpostavka ti nije tocna (jer to nije jedini nacin), pa tako ni zakljucak. A u ostalom, malo razmisli zasto su banke i sl. institucije kojima je sigurnost bitna, osigurane sa malih milijun zastita (a direktno bazi ne mozes ni u kom slucaju pristupiti). ;)[/quote]

I za spoofing ip-a ima lijeka,ali opet rekli smo i da zanemarujemo to jer brute force nad kompliciranom lozinkom je besmislen, , banke i ostale posnovne aplikacije većinom su građene troslojno naravno, ali za jednostavnu web stranicu koja se preko jednog programa puni nema smisla raditi troslojni dizajn


Copyright © 2020 WM Forum - AboutContact - Sponsored by: Mydataknox & Webmaster.Ninja