---

Jeg benytter phpMyAdmin 2.5.2-rc2 på apache, og der står i dokumentationen
at man bør have en .htaccess eller andet der forhindre uautoriseret adgang.

Jeg har endnu ikke lavet en .htaccess eller gjort noget som helst andet, for
at minimere adgangen, men den kommer alligevel og spørger om
brugernavn/adgangskode når jeg browser ind på siden.

Er det indbygget et eller andet i denne version af phpmyadmin, således den
automatisk tager sig af sikkerheden?

Mvh. Jette

---

Jette skrev:

> Jeg benytter phpMyAdmin 2.5.2-rc2 på apache, og der står i dokumentationen
> at man bør have en .htaccess eller andet der forhindre uautoriseret
> adgang.
>
> Jeg har endnu ikke lavet en .htaccess eller gjort noget som helst andet,
> for at minimere adgangen, men den kommer alligevel og spørger om
> brugernavn/adgangskode når jeg browser ind på siden.
>
> Er det indbygget et eller andet i denne version af phpmyadmin, således den
> automatisk tager sig af sikkerheden?

Det er bare dit database login du får der...

Hvis en person nu f.eks. får fat i et af dine php dokumenter hvor
adgangskoden til din database står så kan personen jo komme ind! Det kan
man så forhindre med en overordnet .htaccess men det er noget man skal gøre
op med sig selv hvor meget sikkerhed man vil have der...
--
Mvh. Peter.
___________________________________
www.SepstrupNET.dk & www.PHP-FAQ.dk

---

Peter Sepstrup wrote:

> Hvis en person nu f.eks. får fat i et af dine php dokumenter hvor
> adgangskoden til din database står så kan personen jo komme ind! Det kan
> man så forhindre med en overordnet .htaccess men det er noget man skal gøre
> op med sig selv hvor meget sikkerhed man vil have der...

Jeg tror nu godt at en person, der har fået dit database brugernavn og
adgangskode, kan komme ind uden en .htaccess.
Han kan jo bare connecte fra et andet sted, såfremt MySQL er sat op til
at acceptere eksterne forbindelser. Jeg kan ikke rigtigt se hvordan en
..htaccess vil afhjælpe det.

Selvfølgelig kan man via .htaccess benytte en anden kode til phpMyAdmin
end man gør til databasen, dermed kan en person der har database koden
ikke komme ind på ens phpMyAdmin. Men som sagt kræver det at MySQL ikke
acceptere eksterne forbindelser.

--
Tom Sommer, Denmark
www.dreamcoder.dk - www.tsn.dk - http://blog.dreamcoder.dk

---

Tom Sommer skrev:

> Jeg tror nu godt at en person, der har fået dit database brugernavn og
> adgangskode, kan komme ind uden en .htaccess.
> Han kan jo bare connecte fra et andet sted, såfremt MySQL er sat op til
> at acceptere eksterne forbindelser. Jeg kan ikke rigtigt se hvordan en
> .htaccess vil afhjælpe det.

Jae... de kan komme ind i databasen alligevel, men ikke ind i phpMyAdmin :)

Men du har da klart en pointe med de eksterne forbindelser som man bør tage
med i sine overvejelser.

> Selvfølgelig kan man via .htaccess benytte en anden kode til phpMyAdmin
> end man gør til databasen, dermed kan en person der har database koden
> ikke komme ind på ens phpMyAdmin. Men som sagt kræver det at MySQL ikke
> acceptere eksterne forbindelser.

Det var faktisk det der var min pointe, jeg havde bare lige glemt det med
eksterne forbindelser :)
--
Mvh. Peter.
___________________________________
www.SepstrupNET.dk & www.PHP-FAQ.dk

---

"Tom Sommer" skrev:
> Selvfølgelig kan man via .htaccess benytte en anden kode til phpMyAdmin
> end man gør til databasen, dermed kan en person der har database koden
> ikke komme ind på ens phpMyAdmin. Men som sagt kræver det at MySQL ikke
> acceptere eksterne forbindelser.

Er det denne linie i mysql-server.sh der sikrer der ikke kan forbindes
udefra?

/usr/local/bin/safe_mysqld --skip-networking --user=mysql

Mvh. Jette

---

Jette skrev:

> Er det denne linie i mysql-server.sh der sikrer der ikke kan forbindes
> udefra?
>
> /usr/local/bin/safe_mysqld --skip-networking --user=mysql

Når du opretter nye bruger inde i phpMyAdmin kan du vælge hvor de må
forbinde sig fra... her kan du vælge localhost eller skrive en IP eller
vælger global (tror jeg den hedder). Det er så her det er bedst abre at
vælge localhost m.mindre der er behov for andet...!
--
Mvh. Peter.
___________________________________
www.SepstrupNET.dk & www.PHP-FAQ.dk

---

> Når du opretter nye bruger inde i phpMyAdmin kan du vælge hvor de må
> forbinde sig fra... her kan du vælge localhost eller skrive en IP eller
> vælger global (tror jeg den hedder). Det er så her det er bedst abre at
> vælge localhost m.mindre der er behov for andet...!

Okay, tak for det

Mvh. Jette

---

Tom Sommer <webmaster@tsn.dk> writes:

> Peter Sepstrup wrote:
>
>> Hvis en person nu f.eks. får fat i et af dine php dokumenter hvor
>> adgangskoden til din database står så kan personen jo komme ind! Det kan
>> man så forhindre med en overordnet .htaccess men det er noget man skal gøre
>> op med sig selv hvor meget sikkerhed man vil have der...
>
> Jeg tror nu godt at en person, der har fået dit database brugernavn og
> adgangskode, kan komme ind uden en .htaccess.
> Han kan jo bare connecte fra et andet sted, såfremt MySQL er sat op
> til at acceptere eksterne forbindelser. Jeg kan ikke rigtigt se
> hvordan en .htaccess vil afhjælpe det.

Det har man heller ikke, medmindre man har specielt brug for det. Og
så bør man sikre at kun udvalgte maskiner har adgang, f. eks. vha. en
firewall.

> Selvfølgelig kan man via .htaccess benytte en anden kode til
> phpMyAdmin end man gør til databasen, dermed kan en person der har
> database koden ikke komme ind på ens phpMyAdmin. Men som sagt kræver
> det at MySQL ikke acceptere eksterne forbindelser.

..htaccess betyder jo blot, at folk skal gennem apache's
adgangshåndtering, inden man når frem til phpmyadmin. Hvis ens kodeord
er lækket, slipper folk ikke gennem til phpmyadmin (hvis man har gjort
tingene korrekt). Men man er stadig følsom, hvis man er dum nok til at
tillade global adgang til MySQL...

I Debian skal man f. eks. selv tillade netadgang til MySQL; det er
slået fra som standard.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
The Internet is full. Go away.
-- Joel Furr
----------------------------------[ moffe at amagerkollegiet dot dk ] --