דילוג לתוכן
  • דף הבית
  • קטגוריות
  • פוסטים אחרונים
  • משתמשים
  • חיפוש
  • חוקי הפורום
כיווץ
תחומים

תחומים - פורום חרדי מקצועי

💡 רוצה לזכור קריאת שמע בזמן? לחץ כאן!
  1. דף הבית
  2. תכנות
  3. ארכיון code613m
  4. אבטחת חיבור מרחוק ל mysql

אבטחת חיבור מרחוק ל mysql

מתוזמן נעוץ נעול הועבר ארכיון code613m
10 פוסטים 3 כותבים 542 צפיות
  • מהישן לחדש
  • מהחדש לישן
  • הכי הרבה הצבעות
התחברו כדי לפרסם תגובה
נושא זה נמחק. רק משתמשים עם הרשאות מתאימות יוכלו לצפות בו.
  • א מנותק
    א מנותק
    אבי
    כתב ב נערך לאחרונה על ידי
    #1

    המקרה: תוכנה שולחנית (#C) שמתחברת מרחוק ושולפת נתון משרת mysql.
    כדי שכל לקוח יוכל להתחבר אני מאפשר גישה מרחוק למסד נתונים עבור כל IP.
    החשש: הרי בקוד מופיעים פרטי החיבור (שם וסיסמא), אם הלקוח ינטר את החיבור או יפתח את הקוד הוא יוכל לגשת חופשי לכל הדטה בייס..

    אשמח לקבל לינק, דוגמא או כל הסבר על פתרונות ו/או אלטרנטיבות שונות.
    תודה

    פורסם במקור בפורום CODE613 ב12/07/2015 02:30 (+03:00)

    תגובה 1 תגובה אחרונה
    0
    • dovidD מנותק
      dovidD מנותק
      dovid ניהול
      כתב ב נערך לאחרונה על ידי
      #2

      כלל ברזל: כל מה שיכולה האפליקציה, יכול גם המשתמש.
      ממילא האבטחה לא אמורה להיות כלל ברמת האפליקציה.

      בצד המסד, וזה די מסובך, צריכה להיות הרשאה רק לפעולות שאתה מרשה לאפליקציה/משתמש לעשות.
      כיון שזה מאוד קשה לאכוף אבטחה עדינה במסד נתונים, דרושה תוכנת אמצע שיושבת על השרת ומתווכת ביניהם. היא יכולה להיות חכמלוגית מאוד מבחינת הרשאות וגם גמישה לשינויים.
      תוכנה זו שזה בעצם שירות רשת, נקרא בדרך כלל בשמות webservice, data service.

      אם אתה מכיר תוכנות לקוח נוספות תוכל לבדוק שחלק צעדו בדרך הזו, והם בטוחות לגמרי, וחלק הלכו בדרך הנלוזה של הסתרת המנגנון מהמשתמש כאבטחה, אם זה שם וסימת מסד, FTP, web service ועוד. כל אלו חשופים לבלגנים נחמדים ממשתמשים משועממים או מעוניינים.

      פורסם במקור בפורום CODE613 ב12/07/2015 10:38 (+03:00)

      מנטור אישי למתכנתים (ולא רק) – להתקדם לשלב הבא!

      בכל נושא אפשר ליצור קשר dovid@tchumim.com

      תגובה 1 תגובה אחרונה
      2
      • א מנותק
        א מנותק
        אבי
        כתב ב נערך לאחרונה על ידי
        #3

        @דוד ל.ט.

        תוכנה זו שזה בעצם שירות רשת, נקרא בדרך כלל בשמות webservice, data service.

        webservice זה שם מושג כללי לכל שרת שמעבד בקשה , לא?

        לגבי עצם השאלה, חשבתי שהתשובה הפשוטה היא, לכתוב את פרטי החיבור בצד שרת - PHP לדוגמא, והאפליקציה רק תתחבר לדף הזה עם איזשהו פרמטר שיוכנס בכתובת HTTP, ותקבל בחזרה את הערך המבוקש מתוך הטבלה שעיבד ה PHP.
        תקן אותי אם טעיתי.
        אני רואה הרבה שמשתמשים עם זה והייתי מאוד רוצה ללמוד את הנושא לעומק, מה לחפש בגוגל?

        פורסם במקור בפורום CODE613 ב13/07/2015 06:23 (+03:00)

        תגובה 1 תגובה אחרונה
        1
        • dovidD מנותק
          dovidD מנותק
          dovid ניהול
          כתב ב נערך לאחרונה על ידי
          #4

          @אבי

          webservice זה שם מושג כללי לכל שרת שמעבד בקשה , לא?

          אכן. ואמרתי שאתה חייב לבנות אחת כזאת. ייעודית לתיווך בין התוכנות למסד.

          @אבי

          לגבי עצם השאלה, חשבתי שהתשובה הפשוטה היא, לכתוב את פרטי החיבור בצד שרת - PHP לדוגמא, והאפליקציה רק תתחבר לדף הזה עם איזשהו פרמטר שיוכנס בכתובת HTTP, ותקבל בחזרה את הערך המבוקש מתוך הטבלה שעיבד ה PHP.

          לא קראת טוב את תשובתי.
          יש מאות רעיונות ממש נחמדים, שירחיקו את הסכנה (DROP DATABASE 🙂 וכדומה) בעוד כמה סנטימטרים. למשל לשמור את הסיסמה בצורה מוצפנת.
          אבל שללתי את כולם.

          @אבי

          תקן אותי אם טעיתי.
          אני רואה הרבה שמשתמשים עם זה והייתי מאוד רוצה ללמוד את הנושא לעומק, מה לחפש בגוגל?

          desktop application mysql password

          פורסם במקור בפורום CODE613 ב13/07/2015 15:52 (+03:00)

          מנטור אישי למתכנתים (ולא רק) – להתקדם לשלב הבא!

          בכל נושא אפשר ליצור קשר dovid@tchumim.com

          תגובה 1 תגובה אחרונה
          0
          • א מנותק
            א מנותק
            אבי
            כתב ב נערך לאחרונה על ידי
            #5

            @דוד ל.ט.

            אבי כתב:
            לגבי עצם השאלה, חשבתי שהתשובה הפשוטה היא, לכתוב את פרטי החיבור בצד שרת - PHP לדוגמא, והאפליקציה רק תתחבר לדף הזה עם איזשהו פרמטר שיוכנס בכתובת HTTP, ותקבל בחזרה את הערך המבוקש מתוך הטבלה שעיבד ה PHP.

            לא קראת טוב את תשובתי.

            נו, זה בדיוק תוכנת תיווך, לא?

            פורסם במקור בפורום CODE613 ב13/07/2015 16:05 (+03:00)

            תגובה 1 תגובה אחרונה
            0
            • dovidD מנותק
              dovidD מנותק
              dovid ניהול
              כתב ב נערך לאחרונה על ידי
              #6

              ממש לא... אין שום מתווך התוכנה למסד, התקשורת ישירה. רק בתור שמירת פרטי חיבור בחרת בדף מרוחק וזה שקול לקובץ בדיסק קשיח (עם הסיומות האופייניות XNL/INI).
              הדף מחזיר פרטי חיבור, ויאללה התוכנה מחוברת. אתה לא מבין כמה קל למשתמש מנוסה לאחזר את הפרטים הללו, ואיזה שאגות צחוק הוא ירים כשהוא יראה את הדרך המשובשת בה בחרת להחביא ממנו את הפרטים.

              תוכנה מתווכת הכוונה שהיא מקבלת שם וסיסמה (שיכולים להיות חשופים למשתמש וכתובים בענק בתוכנה) ונותנת גישה למשאבי המסד לפי מה שהחלטת עבור הם והסיסמה האלו. נניח אתה עושה תוכנה לחנות מוזיקה, שאפשר להזמין דיסקים ע"י התוכנה. אז השם והסיסמה יהיו גלויים למשתמש ואדרבה, הוא אפי' יבחר אותם כמו בהרשמה לאתר. התוכנה המתווכת תיתן לשם וססימה אלו את הקניות האחרונות שהם ביצעו וכדומה. אבל הם לא יכולו לבצע SELECT ללא WHERE ולקבל קניות של אחרים.

              בעצם תתייחס לרעיון שלך, ותחשוב שבמקום שPHP יחזיר פרטי חיבור כמו טמבל, הוא פשוט יגיד לתוכנה "יאללה, מה את רוצה לדעת"? אז היא תגיד לו "את הסיסמה של המנהל". אז הדף ישאל אותה "רגע, מי את בכלל?" 🙂

              פורסם במקור בפורום CODE613 ב13/07/2015 16:20 (+03:00)

              מנטור אישי למתכנתים (ולא רק) – להתקדם לשלב הבא!

              בכל נושא אפשר ליצור קשר dovid@tchumim.com

              תגובה 1 תגובה אחרונה
              0
              • dovidD מנותק
                dovidD מנותק
                dovid ניהול
                כתב ב נערך לאחרונה על ידי
                #7

                באשכול ישן (שלך), KingYes ענה תמציתית וזה נוגע גם לכאן: http://tchumim.com/topic/509

                @KingYes

                • קח בחשבון שיהיה לך פה בעיות אבטחה מול השרת, ותצטרך לפתוח את ה-Remote Control של ה-MySQL / SQLServer לכל הכתובות האייפים. אלא אם כן תבנה לך איזה RESTful (עברית) פשוט בשביל ה-CRUD.

                פורסם במקור בפורום CODE613 ב13/07/2015 16:31 (+03:00)

                מנטור אישי למתכנתים (ולא רק) – להתקדם לשלב הבא!

                בכל נושא אפשר ליצור קשר dovid@tchumim.com

                תגובה 1 תגובה אחרונה
                1
                • א מנותק
                  א מנותק
                  אבי
                  כתב ב נערך לאחרונה על ידי
                  #8

                  @דוד ל.ט.

                  בעצם תתייחס לרעיון שלך, ותחשוב שבמקום שPHP יחזיר פרטי חיבור כמו טמבל, הוא פשוט יגיד לתוכנה "יאללה, מה את רוצה לדעת"? אז היא תגיד לו "את הסיסמה של המנהל". אז הדף ישאל אותה "רגע, מי את בכלל?"

                  לא התכוונתי שהPHP יחזיר את הפרטי חיבור, אלא שהוא יבצע את השאילתה ויחזיר את הערך מתוך הטבלה.

                  פורסם במקור בפורום CODE613 ב13/07/2015 16:46 (+03:00)

                  תגובה 1 תגובה אחרונה
                  0
                  • M מנותק
                    M מנותק
                    magicode
                    כתב ב נערך לאחרונה על ידי
                    #9

                    למה. דווקא זה נקרא תוכנת תיווך. שהופכת את המסד לקריאה בלבד.
                    ואי אפשר לכתוב.
                    אם כותבים את הPHP נכון ולא מעבירים ל PHP פרמטר שנקרא שאילתא.

                    פורסם במקור בפורום CODE613 ב13/07/2015 16:48 (+03:00)

                    תגובה 1 תגובה אחרונה
                    1
                    • dovidD מנותק
                      dovidD מנותק
                      dovid ניהול
                      כתב ב נערך לאחרונה על ידי
                      #10

                      @אבי

                      לא התכוונתי שהPHP יחזיר את הפרטי חיבור, אלא שהוא יבצע את השאילתה ויחזיר את הערך מתוך הטבלה.

                      אכן, זה בדיוק data service ומתנצל שעניתי אחרי קריאה רופפת מידי. זה בדיוק מה שכבת בהתחלה.

                      פורסם במקור בפורום CODE613 ב13/07/2015 17:45 (+03:00)

                      מנטור אישי למתכנתים (ולא רק) – להתקדם לשלב הבא!

                      בכל נושא אפשר ליצור קשר dovid@tchumim.com

                      תגובה 1 תגובה אחרונה
                      1

                      בא תתחבר לדף היומי!
                      • התחברות

                      • אין לך חשבון עדיין? הרשמה

                      • התחברו או הירשמו כדי לחפש.
                      • פוסט ראשון
                        פוסט אחרון
                      0
                      • דף הבית
                      • קטגוריות
                      • פוסטים אחרונים
                      • משתמשים
                      • חיפוש
                      • חוקי הפורום