Sorge! geht PN aus Datenbank auslesen ohne passwort?

  • Themenstarter Themenstarter Lukasz
  • Beginndatum Beginndatum
L

Lukasz

Hallo ich habe auf meinem Board seit längeren ungebetene Gäste.

Um mir die ganze Geschichte zu sparen, hab ich eine Frage.
Ist es möglich aus der Datenbank zu lesen ohne passwort und ohne user?
Oder behaupten diese nur Müll um mich unruhig zu machen.

Meine Mysql ist mit einem Passwort versehen. Also gibt es di Möglichkeit das diese auf meine MYSQL zugreifen?

Ist mir sehr wichtig da anscheinend meine PNs gelesen werden.
Gruss Lukasz!
 
Ohne Benutzerkonto und Passwort glaube ich das kaum! Aber vielleicht haben "Die" ja die Datei mit Deinen Zugangsdaten irgendwie erwischt?! Änder doch mal die Zugangsdaten (Passwort) und prüfe, ob man an die Datei mit den Zugangsdaten (PHP-Datei o. ä. ) zugreifen kann.
Wenn Du ein "fertiges" Board benutzt, kann natürlich jeder beim Ersteller nachsehen, wie die Verzeichnisstruktur aufgebaut ist und unter Umständen gezielt Dateien auslesen. Ändere die Verzeichnisnamen und passe die Links entsprechend an.
Natürlich kann man alles irgendwie aushebeln.

Sicherheit ist eine Illusion.

Hat mal jemand gesagt (wer war das noch:rolleyes: ).

Frag dich doch mal selbst, ob Du den "Schmalhirnen" sowas überhaupt zutraust?!
 
Das dachte ich mir. Ich nutze ein Kit als Vorlage, das ich verändert hab. (Nach meinen Bedürfnissen).

Also ich habe versucht vom 2ten Server Zugriff auf die DB des ersten Servers zu bekommen. Ohne PW gehts nicht.

Also könnten die praktisch nur die scripte aus nutzen die auf dem eigenen Server liegen. Hab ich das richtig verstanden? Weil mein Passwort äner ich des öffteren.
Ich habe auch mal versuch die id der PN zu wechseln. Bekomme dann zugriff verweigert. Weil im script nach dem rights gefragt wird. Also denke ich man möchte mich verunsichern.

Gruss und Danke!
 
Hi,

schau mal in die Datenbank, die mysql heißt, besonders in die user-Tabelle da-
rin.

Dort hast du eine host-Spalte, mit der du regeln kannst, von welchem Host man
sich als dieser User einloggen kann.

Beispiel:
Code:
`host` = '%'; # Jeder von jedem PC darf sich als dieser User einloggen
`host` = 'localhost'  # man darf sich nur von localhost (also der eigenen Maschine) einloggen
 
zwei Fallstricke kenne ich noch die erlauben auf deine DB zuzugreifen:

A) Wenn du bei PHP mit include("dbdaten"); arbeites und die Datei keine PHP Datei
ist könnte die Datei mit einem Browser ausgelesen werden

B) Du hast Inputfelder die direkt an die mysql_query weitergeleitet werden
(das ist die einfachste Möglichkeit die DB mit einer SQL Injektion auszuhebeln)
sprich es muss in deinem PHP Script die Function mysql_escape_string benutzt werden
 
Zurück