Varför man inte använder PhpMyAdmin

phpMyAdmin är ett helt okej verktyg för att arbeta med MySQL. Däremot behöver man ju inte låta det vara tillgängligt utifrån.

Exakt. Man får ju se till att sätta upp i apache eller nån brandvägg från vilka ipn man ska komma åt de hela.

Skyll inte PhpMyAdmin om någon satt root/root på deras MySQL server! Precis som med alla andra stora program så drabbas dom av scanners. Detta forum bygger ju inte på världens minsta programvara heller och ni är nog van vid att forumet scannas efter kända buggar. Kanske ska avinstallera för att vara på den säkra sidan?

Så är ju situationen på alla väl avnvända bra program (som kan misskonfigureras/ ha svaga lösenord) - kolla i ssh eller smb log filerna efter misslyckade inloggningar. Det gäller att skyda sig väl där ute för alla script kiddies som vill in i ens dator.

Problemet blir när man har ett stor nätverk med datorer som man inte har full koll på, t.ex. bärbara, som kan innehålla vad som helst, och kan utföra interna attacker som ovan när man kopplar upp den bärbara på nätverket. Paranoid? Jag?

De är väl bara att speca vilka ipnummer som får ansluta, tex dom som ska ha där o göra

Jo visserligen.

To each his own. Jag kör phpmyadmin och tillåter access från "världen". Däremot är URL'en dit inte självklar, och jag pekar om så att allt går över SSL.

Det här är ju inget phpmyadmin-specifikt problem egentligen. Det gäller ju alla tjänster där man kan gissa user/password. Sedan kanske man kan göra mer eller mindre skada..

Är ju bara att googla efter RDP sidor där man kan gissa user/password.
Som du säger, en avvägning. Tillgänglighet och hur känsligt material man har.

Sen behöver man ju inte köra phpMyAdmin som root användaren.
Man kan ha en "kund" phpMyAdmin som kör med ett mycket mer begränsat konto mysql, och sedan en admin phpMyAdmin som går med t ex. root användaren. Det är väl iof självklart men kan ju alltid påpekas många gånger.

En annan poäng är ju att MySQL Cocoa verktygen för OS X överlag är så kassa att kör man OS X är phpMyAdmin ett av de bättre alterantiven tyvärr, men vi kan ju alltid hoppas mysql lyckas göra sina verktyg lite stabilare...

Usch, jag avskyr PHPMyAdmin. Det är ju hemskt att arbeta i.

Trodde det stod Pimp My Admin,, men det gjorde det inte...

Standout - jämfört med vad? Jag skulle gärna vilja höra talas om bra alternativ.

... och här kommer ju .htaccess och robots.txt till nytta.. liksom begränsade rättigheter. Jag jobbar mycket med phpMyAdmin men ger mig själv bara specifikt databasbundna rättigheter som täcker upp mina behov i varje case. Liksom för alla webbsidor jag driver med MySQL där kopplingen oftast bara får SELECT rättigheter utom på enstaka sidor där andra rättigheter krävs och då bara de rättigheter som behövs. Varför dela ut mer än vad som krävs? Precis som andra varit inne på här är ju säkerhetsriskerna mer en fråga om förnuft än något annat.

Där har ju phphMyadmin inbyggda funktioner.

Exakt så gör jag också, däremot är man lite lat ibland och ger en mer rättigheter än man behöver och så glömmer man ändra sen

Ps - en större risk är ju faktiskt om ni har phpinfo sidor liggandes live.. prova och googla på phpinfo så får ni se.. snacka om säkerhetsrisk..

Provade det men ser inget som skulle vara farligt?

Men jag förstår inte resonemanget lite. Jag tycker phpmyadmin är tokbra och använder det hela tiden. Men på samma sätt som man kan låta scanna och testa lösenord i alla andra program som kan snacka med MySQL-databaser, så kan man ju göra det med phpmyadmin. Så vari ligger den ökade säkerheten med att eliminera phpmyadmin? Alla är ju parallella vägar till samma databasserver?

Och varför är det enklare att inte ha PHPMyAdmin och hänvisa användarna till andra obskyra och dåliga verktyg istället?

Redan massor av inlägg.

Jag älskar phpmyadmin, mycket trevligt att arbeta med om man exemplevis inte har NaviCat (För övrigt trevligt mysql admin till osx).

Med säkerheten förstår jag inte. Ingen är väl dum nog att ge MySQL andra rättigheter än Lokalhost och logga in phpmyadmin med config? Jag sätter alla inloggningar i phpMyadmin till HTTP så man måste skriva username/password för den mysql usern som man vill logga in som, då blir det inga konstigheter och man får bara tillgång till dom databaserna som man ska ha tillgång till.

Keep it Simple stupid....

Jo, på så sätt att du med en sökning på phpinfo.php får upp mycket träffar direkt till just phpinfo.php sidor. Där kan du sedan se exakt hur php är konfigurerat, t ex om register_globals är på. Jag gjorde nu en snabbsökning på phpinfo, gick in på träffarna. Redan på andra träffen hittade jag register_globals on. På femte träffen hittade jag en oscommerce-installation med register_globals on. I det läget är det ganska enkelt att ta sig in i admin. Du behöver bara slå upp lite oscommerce-variabler och sedan sätta dig själv som authorized. Med lite tur finns oscommerce-file managern installerad och då kanske vi t om kan komma åt config-filen och därmed användarnamn och lösen till MySQL.

Det är av liknande själ som phpinfo-filer är en säkerhetsrisk.

Absolut, men php info är ju inte säkerhetsrisken, det är ju om man är puckad nog att ha globala variabler. Det är ungefär som att säga att MacOSX är otroligt osäkert bara för att jag får reda på lösenordet till en dator genom att fråga användaren i fråga.

För att vara näsvis.. ::rolleyes: globala variabler var ett exempel, vad jag menar är att A och O om man vill hacka något är kännedom om lösningen. Man får ganska mycket kännedom av en phpinfo-fil och kan där identifiera eventuella svagheter. Jag kan mycket väl använda en phpinfo-fil under vissa utvecklingsstadier men det finns ju ingen anledning att ha den liggande annars, eller hur?