phpbar.de logo

Mailinglisten-Archive
[php] Phpmyadmin auf Tabellebeschränken

[php] Phpmyadmin auf Tabellebeschränken

Lutz Zetzsche php at sea-rescue.de
Don Okt 30 13:05:08 CET 2003 

Hi Matthias,

Zitat von Matthias Spork <matthiasspork at genion.de>:

> > Nein. Fuer das, was er wollte, reicht eine einfache if-Bedingung
> > zusaetzlich im
> > linken Navigationsframe von phpMyAdmin aus.
> >
> >
> > > Die großen Funktionalitäten des Tools kann der der Enduser
> > > doch gar nicht nutzen.
> > >
> > > Bau dir da am besten selber was. So ein Script dürfte nicht mehr als 100
> > > Zeilen haben.
> >
> > 100 Zeilen gegenueber einer = 99 zuviel, und dann noch wie viel weniger
> > Funktionalitaet... ;-)
>
>
> Die Auswahl der Tabellen im rechten Frame von PHPMyAdmin erfolgt per
> GET-Variablen. Da springt das K.O.-Kriterium doch einem ins Gesicht, oder?

Wie gesagt: Ich wuerde es so auch nicht machen. Aus meiner Sicht sollte man die
Zugriffsberechtigung auf die Datenbanktabellen immer von MySQL machen lassen.
Nur scheint das in diesem Fall nicht zu gehen.

Das Problem, dass Du hinsichtlich der GET-Parameter aufzeigst, kann man
allerdings dadurch loesen, dass man auch in den Seiten, die in den linken Frame
geladen werden, nur die Anzeige von Daten dieser einen Tabelle zulaesst. Solche
eine Anpassung ist relativ einfach moeglich. Da habe ich schon mal rumgespielt,
deswegen wage ich das zu behaupten. :-)

Auch Benutzername und Passwort fuer den Datenbankzugriff braucht der Benutzer
der Oberflaeche ja nicht genannt zu bekommen, weil man die in der conf-Datei
von phpMyAdmin eintragen kann. Der Benutzer darf dann halt keinen Zugriff auf
diese conf-Datei haben. Und sonst sollte auch kein Unberechtigter da rein
gucken koennen... Ist halt etwas unsicher, Passworte im Klartext auf dem Server
rumliegen zu haben - das ist klar.

Nun braucht man diese kastrierte phpMyAdmin-Version nur noch mit htaccess
passwortschuetzen, und schon ist das Ganze doch immerhin relativ sicher.
Benutzername und Passwort sollten natuerlich von dem Login fuer den
Datenbankzugriff abweichen.

Es kommt halt auf die Situation an, ob man das fuer ausreichend sicher haelt
oder nicht. :-) Mir wuerde das Ganze auch Bauchschmerzen bereiten, aber es ging
hier ja erst einmal um Loesungsmoeglichkeiten. :-) Und manchmal entwickeln
solche Diskussionen ihre eigene Dynamik und bringen ein unerwartetes, aber sehr
brauchbares Ergebnis.


Viele Gruesse

Lutz

php::bar PHP Wiki   -   Listenarchive