Mailinglisten-Archive |
Guido Stepken schrieb am Mittwoch, den 1. September 1999: [zu <URL: http://www.little-idiot.de/firewall/zusammen-169.html >] > > Dein Text erwähnt das für die Problematik sehr wichtige File-Privileg > > nicht einmal. In meinen Augen ein wirklich schweres Manko Deines > > Textes. Ich fände es wichtig, daß Du den Text nochmal überarbeitest! > > > Jepp, schon getan ... Hmm, was hast Du denn geändert? Das File-Privileg jedenfalls wird dort immer noch nicht erwähnt. Auch nicht, daß MySQL (mindestens ab den 3.22er Versionen) per LOAD DATA INFILE nur Zugriff auf solche Dateien außerhalb des Datenbank- verzeichnises erlaubt, die für alle lesbar sind. Und daß die Problematik einfach vermieden werden kann, wenn man das File-Privileg nicht vergibt, sondern LOAD DATA LOCAL INFILE nutzt. Das gleiche gilt für SELECT ... INTO OUTFILE. Alle Tests, die ich machen konnte, zeigen auch, daß man mit SELECT ... INTO OUTFILE wie im Manual beschrieben wirklich keine bestehenden Dateien überschreiben kann. Deshalb gehört da unbedingt ein Hinweis in den Text, in welcher alten MySQL-Version diese Sicherlücke besteht, und daß sie in aktuellen Versionen _nicht_ mehr existiert. Auch zum Logging gehört meines Erachtens erwähnt, daß das in allen aktuellen Version vollständig mitloggt. Ciao, Martin -- Martin Ramsch <m.ramsch_(at)_computer.org> <URL: http://home.pages.de/~ramsch/ > PGP KeyID=0xE8EF4F75 FiPr=52 44 5E F3 B0 B1 38 26 E4 EC 80 58 7B 31 3A D7 --- *** Abmelden von dieser Mailingliste funktioniert per E-Mail *** an mysql-de-request_(at)_lists.4t2.com mit Betreff/Subject: unsubscribe
php::bar PHP Wiki - Listenarchive