hoe kan ik voorkomen dat een user in zijn acount het phpMyAdmin instalt
of anders als het er al staat hoe ik het zo dicht kan zetten dat hij alleen in zijn spullen kan komen
vg Herman
hoe kan ik voorkomen dat een user in zijn acount het phpMyAdmin instalt
of anders als het er al staat hoe ik het zo dicht kan zetten dat hij alleen in zijn spullen kan komen
vg Herman
Laatst gewijzigd door HBCS; 25/11/04 om 14:28.
Een user een username en password geven die hem toegang geeft tot bepaalde tabellen.
Het lijkt me logisch dat hij met zijn eigen gebruikersnaam en wachtwoord niet in de database van iemand anders kan kijken. Wat wil je dan nog beveiligen?
gewoon gebruikers aanmaken via phpmyadmin, mocht iemand phpmyadmin op zijn eigen space zetten (wat veel mensen doen, en groot gelijk hebben ze) dan weten ze niets meer dan hun eigen login (en komen ze bij eigen db's, niet bij andere)
dat is dus een groot lek bij mij blijkbaar dat ze dus wel de andere databases zien en kunnen bewerken
het is dat ik het zelf heb kunnen reproduceren anders zou ik ook zeggen kan niet
ik heb dus een test database van een ander weg kunnen gooien
dus blijkbaar maakt een klant de database aan als user en niet als klantnaam
mmmmmmmm moet ik toch eens gaan kijken wat ik daar aan kan doen
Je logt dan toch nit in als admin/root he?
Want dan kan dat inderdaad
Maar je moet gebruikers geen admin rechten geven, je moet ze de normale rechten geven en dan de gewenste databases toewijzen.
normaal kunnen ze helemaal niet ongevraagd een db aanmaken
dat doe ik zelf
maar er was er nu 1 die zo slim was om phpMyAdmin er op te zetten
en ook een nieuwe database te maken op zich niet zo erg als hij dan maar NIET aan de andere databases kan komen
hij mag ze eigenlijk niet eens zien denk ik dan
moet ik toch nog eens naar kijken waar en hoe en door wie de permissies gemaakt worden
ik ben hier niet echt blij mee
maar tot nu toe nog geen schade van ondervonden maar het heeft me wel aan het denken gezet
ik denk dat ik er al uit ben al de gebruikers staan in groep users en dus niet in hun eigen groep
even een voorbeeldje
gebruiker1 staat als owner gebruiker1 en als groep users
gebruiker2 staat als owner gebruiker2 en als groep users
gebruiker3 staat als owner gebruiker3 en als groep users
ik denk dat hier iets fout in gaat
Je moet de user geen rechten geven, alleen een bep user naar een bep db.
Lijkt me wel handig als hij dan op z'n minst SELECT rechten heeftOrigineel geplaatst door luser
Je moet de user geen rechten geven, alleen een bep user naar een bep db.
In phpmyadmin ff snelle uitleg (de enigste manier hoe de meeste het hier doen probbly):
- Je maakt een db aan
- Je maakt een nieuwe user aan en geeft deze geen van de rechten die er staan.
Alleen bij de 'Database-specifieke privileges' geef je hem toegang op alleen de aangemaakt db, hierop mag je hem alles geven.
bij het aanmaken van je klant
doe je de volgende SQL quey
Op deze manier heeft de gebruiker ALLEEN toegang tot zijn eigen d-base...Code:GRANT ALL ON [dbasenaam].* TO [gebruikersnaam] identified by '[password]';
edit, dit is hetzelfde als hierboven beschreven, maar dan misschien wat makkelijker, ik gebruik het zelf ook....
En geef de user dus GEEN grant rechten!!
anders kan je aan de gang blijven