sslug-teknik team mailing list archive

["Klaus S. Madsen" <sslug@xxxxxxxxxxxxxxxx>]

On Thu, Oct 25, 2001 at 09:52:57AM +0200, Andreas Overgaard wrote:
> >Forestil dig du er en hyggelig lille butik der sælger varer over 
> >nettet. Du har så en lille database på samme server med dit 
> >webhotel. Da det jo ville være nydeligt at kunne opdatere din 
> >database f.eks. med varer & priser så kunden kan få en 
> >bestilling ud af at kigge på der, laver du en lille afdeling der 
> >er "sikker" i form at lidt php + password osv. for at kunne 
> >redigere&opdatere din database.
> >Nu sidder der en lille fyr der egentligt synes han gerne vil 
> >have adgang til dine data og han tager et script, der som et 
> >hvilket som helst andet bibliotek læser ind gennem hele din 
> >webserver fil struktur og vupti... Alle filer som webserveren 
> >(dvs. OGSÅ PHP) kan læse kan du læse
> 
>   Det formodes så at databasen er en tekstfil? og hvis man 
>   giver en tekst fil +r må man også forvendte at der vil være 
>   nogen der læser den. Jeg tror ikke der er nogen der ville
>   sikkerheds godkende en database der var baseret på
>   åbne tekstfiler.
Databasen behoever da ikke vaere en tekst fil. Et eller andet sted i
php-koden er login og password til databasen noedt til at staa, og den
fil kan du laese, saa derfor har du adgang til databasen, uanset om der
bruges Oracle eller mysql.

-- 
/-----------------------------------------------------\
| Klaus S. Madsen      | "Failure is not an option... |
| ICQ: 45400164        |  It comes bundled with your  |
| www.hjernemadsen.org |  Microsoft products!"        |
\-----------------------------------------------------/