Question

Если веб-сервер и сервер базы данных находятся на разных хостах, может ли хакер выполнить перехват пакетов или использовать какой-либо другой метод для получения имени пользователя / пароля для базы данных при использовании mysql_connect в коде PHP?

rook · Answer 1 · 08 октября 2010

Да, mysql_connect () можно прослушать. Пароль "взломан" , но это не остановит злоумышленника. Все запросы передаются по сети в виде простого текста, и аутентифицированный сеанс может быть перехвачен, если вы перехватываете идентификаторы последовательности TCP.

Вы должны использовать полное шифрование транспортного уровня, которое возможно при использовании флага MYSQL_CLIENT_SSL , если вы беспокоитесь об этой атаке. Если вы устанавливаете mysql-соединение через Интернет или другую ненадежную сеть, это необходимо. Это не обязательно, если вы подключаетесь через localhost.

Chris Ghenea · Answer 2 · 08 октября 2010

Я думаю, что хакер может перехватить пакеты, если у него есть какой-то доступ к веб-серверу или серверу БД, или, по крайней мере, к локальной сети, где находится один из этих серверов, и в этом случае у вас есть большие проблемы. Но если веб-сервер находится на webhost.com, база данных находится на dbhost.com, и хакер пытается понюхать извне, он не может многое сделать.

php mysql_connect security

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

php mysql_connect security

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов