Komentarze do: Analiza struktury bazy danych http://www.beldzio.com/analiza-struktury-bazy-danych Bełdziowe spojrzenie na aplikacje internetowe Wed, 23 Nov 2011 11:05:26 +0000 hourly 1 http://wordpress.org/?v=3.1.1 Autor: Piotr Mądry http://www.beldzio.com/analiza-struktury-bazy-danych/comment-page-1#comment-874 Piotr Mądry Sun, 21 Mar 2010 01:31:26 +0000 http://www.beldzio.com/?p=351#comment-874 (Nie na temat - więc można usunąć). Nie mogę jednak nie skorzystać z okazji i **podziękować Ci Michale za bezinteresowną pomoc nieznanej osobie choć było już po 22-giej...** (Nie na temat – więc można usunąć).
Nie mogę jednak nie skorzystać z okazji i **podziękować Ci Michale
za bezinteresowną pomoc nieznanej osobie choć było już po 22-giej…**

]]> Autor: Koło fortuny (Blind SQL injection) « guzik http://www.beldzio.com/analiza-struktury-bazy-danych/comment-page-1#comment-873 Koło fortuny (Blind SQL injection) « guzik Thu, 18 Mar 2010 20:28:16 +0000 http://www.beldzio.com/?p=351#comment-873 [...] przeglądam blog Michała Ławickiego i w komentarzach uzupełniam artykuły dot. baz danych (vide Analiza struktury bazy danych czy Obsługa plików, a SQL Injection). Dziś przyjrzałem się jego podejściu do Blind SQL [...] [...] przeglądam blog Michała Ławickiego i w komentarzach uzupełniam artykuły dot. baz danych (vide Analiza struktury bazy danych czy Obsługa plików, a SQL Injection). Dziś przyjrzałem się jego podejściu do Blind SQL [...]

]]> Autor: guzik http://www.beldzio.com/analiza-struktury-bazy-danych/comment-page-1#comment-869 guzik Wed, 17 Mar 2010 22:10:10 +0000 http://www.beldzio.com/?p=351#comment-869 Polecam zapoznanie się z dokumentacją: http://dev.mysql.com/doc/refman/5.0/en/information-schema.html W szczególności: /Each MySQL user has the right to access these tables, but can see only the rows in the tables that correspond to objects for which the user has the proper access privileges./ - czyli każdy widzi, ale tylko swoje obiekty. Warto sprawdzić co widzi użytkownik, który podłączył się do domyślnie zainstalowanej bazy, a nie ma jeszcze żadnych uprawnień. /The SELECT ... FROM INFORMATION_SCHEMA statement is intended as a more consistent way to provide access to the information provided by the various SHOW statements that MySQL supports / - czyli od 5.0 jest uporządkowane to, co kiedyś można (i nadal) było zobaczyć stosując kilka poleceń z rodziny SHOW. Oczywiście w kontekście sqlinjection i UNION jest zdecydowanie lepsze od SHOW. Baza złożona z widoków systemowych jest lepszym określeniem niż 'wirtualna baza danych'. Polecam zapoznanie się z dokumentacją: http://dev.mysql.com/doc/refman/5.0/en/information-schema.html
W szczególności:
/Each MySQL user has the right to access these tables, but can see only the rows in the tables that correspond to objects for which the user has the proper access privileges./ – czyli każdy widzi, ale tylko swoje obiekty. Warto sprawdzić co widzi użytkownik, który podłączył się do domyślnie zainstalowanej bazy, a nie ma jeszcze żadnych uprawnień.
/The SELECT … FROM INFORMATION_SCHEMA statement is intended as a more consistent way to provide access to the information provided by the various SHOW statements that MySQL supports / – czyli od 5.0 jest uporządkowane to, co kiedyś można (i nadal) było zobaczyć stosując kilka poleceń z rodziny SHOW. Oczywiście w kontekście sqlinjection i UNION jest zdecydowanie lepsze od SHOW.

Baza złożona z widoków systemowych jest lepszym określeniem niż ‘wirtualna baza danych’.

]]> Autor: Michał Ławicki http://www.beldzio.com/analiza-struktury-bazy-danych/comment-page-1#comment-865 Michał Ławicki Sun, 14 Mar 2010 14:39:54 +0000 http://www.beldzio.com/?p=351#comment-865 hmm fakt, tak więc jedyne co pozostaje to wyłapywanie odwołań do information_schema na poziomie kodu / IDS hmm fakt, tak więc jedyne co pozostaje to wyłapywanie odwołań do information_schema na poziomie kodu / IDS

]]> Autor: Borys Łącki http://www.beldzio.com/analiza-struktury-bazy-danych/comment-page-1#comment-861 Borys Łącki Wed, 10 Mar 2010 09:44:33 +0000 http://www.beldzio.com/?p=351#comment-861 Nie wydaje mi się, aby takie to było proste. Wykonanie nawet: REVOKE ALL PRIVILEGES, GRANT OPTION FROM user@localhost zabierze uprawnienia do wszystkich baz ale nie do INFORMATION_SCHEMA. Nie wydaje mi się, aby takie to było proste. Wykonanie nawet:

REVOKE ALL PRIVILEGES, GRANT OPTION FROM user@localhost

zabierze uprawnienia do wszystkich baz ale nie do INFORMATION_SCHEMA.

]]> Autor: Michał Ławicki http://www.beldzio.com/analiza-struktury-bazy-danych/comment-page-1#comment-857 Michał Ławicki Mon, 08 Mar 2010 13:52:40 +0000 http://www.beldzio.com/?p=351#comment-857 i tam, skoro nie korzystasz z information_schema to po co umożliwiać do niej dostęp? :) a co do uprawnień to sprawa jest prosta, należy nadawać najniższe możliwe, tyle można napisać - jakie konkretnie nadać to już zależy wyłącznie od funkcjonalności aplikacji i tam, skoro nie korzystasz z information_schema to po co umożliwiać do niej dostęp? :)

a co do uprawnień to sprawa jest prosta, należy nadawać najniższe możliwe, tyle można napisać – jakie konkretnie nadać to już zależy wyłącznie od funkcjonalności aplikacji

]]> Autor: eloszk http://www.beldzio.com/analiza-struktury-bazy-danych/comment-page-1#comment-856 eloszk Mon, 08 Mar 2010 10:54:29 +0000 http://www.beldzio.com/?p=351#comment-856 kiedys sie bawilem tym, i nawet chcialem zabezieczyc sie przed pierwsza metoda, ale ludzie na jakims forum mnie od tego odciagneli, juz teraz nie pamietam czy ich argumentem bylo, ze information_schema jest potrzebna, czy nie mozna tego zrobić. Możesz napisać cos wiecej jakie uprawnienia nadac userowi? Moze byc z lini komend albo z phmyadmina, jol siema. kiedys sie bawilem tym, i nawet chcialem zabezieczyc sie przed pierwsza metoda, ale ludzie na jakims forum mnie od tego odciagneli, juz teraz nie pamietam czy ich argumentem bylo, ze information_schema jest potrzebna, czy nie mozna tego zrobić. Możesz napisać cos wiecej jakie uprawnienia nadac userowi? Moze byc z lini komend albo z phmyadmina, jol siema.

]]>