Assegnazione di cPanel Privilegi MySQL

Naviga le tue risposte
1

Quando accedo a cPanel, vado a creare un nuovo database MySQL con la procedura guidata. Di solito, si consiglia di assegnare l'utente del database con tutte le autorizzazioni da Inserisci, Aggiorna, Modifica, Esegui, ecc. Nell'elenco. Questo mi ha fatto pensare.

Nota: quando creo le mie applicazioni, tutte le autorizzazioni richieste sono Inserisci, Aggiorna, Elimina, Seleziona e Modifica. Il che è molto ragionevole per fare tutto ciò che vogliamo visualizzare i dati e interagire con esso.

Quando vogliamo davvero consentire a un'applicazione Web come un semplice CRUD PHP di eseguire, rilasciare, creare, attivare e pochi altri privilegi? Sarebbe più una minaccia per la sicurezza a MySQL e al nostro database?

    
posta 29.04.2014 - 00:17
fonte

2 risposte

1

Non sarebbe più una minaccia dato che l'utilizzo di un account con privilegi elevati di per sé non ti darà alcun problema ma è più rischioso se la tua applicazione è in qualche modo compromessa da forse un'iniezione SQL. Si consiglia di eseguire applicazioni con il solo livello di privilegio necessario e non di più, è una best practice di sicurezza conosciuta come il principio del privilegio minimo.

link

    
risposta data 29.04.2014 - 23:15
fonte
1

When do we ever want to actually allow an web application such as a simple PHP CRUD to execute, drop, create, trigger, and a few other privileges?

Per rispondere a questa domanda, vengono in mente diversi scenari:

  • Molte applicazioni Web hanno installer (ad esempio, prendi Wordpress) che ha bisogno di creare lo schema
  • Spesso le credenziali utilizzate nell'applicazione Web vengono utilizzate per eseguire migrazioni di database (ad esempio aggiornamenti programmatici allo schema del database)
  • Alcune applicazioni creano nuove tabelle in tempo reale, ad esempio quando viene aggiunto un nuovo cliente. Lo considererei un design scadente in tutti i casi tranne alcuni, ma comunque accade.
  • Il software che ha un sistema di plugin spesso consente ai plug-in di creare nuove tabelle
  • Alcune operazioni come il troncato potrebbero essere utili per cancellare una tabella di cache

Generalmente nessuno di questi usi è veramente nell'interesse di creare l'ambiente più sicuro possibile. Se la tua applicazione ha un programma di installazione, ti consigliamo di modificare le credenziali per un utente con privilegi più bassi dopo l'installazione.

Per quanto riguarda il motivo per cui cPanel potrebbe impostare di default tutte le operazioni - suppongo che preferiscano ridurre al minimo le richieste di supporto da parte degli utenti che concedono le autorizzazioni sbagliate.

    
risposta data 30.05.2014 - 04:06
fonte

Leggi altre domande sui tag

Data di crittografia GPG o versione GPG recuperabile? Consenti loopback in Iptables?