Сайт на HTML более защищен чем сайт на PHP

E
На сайте с 01.10.2017
Offline
105
#151
timo-71 #:
Так что формально, база на улицу не светит, только прокладка.

Прокладка прокладке - рознь. В pma/pgadmin вы практически любой запрос можете выполнить, войти под условным рутом. Подобные админки если и устанавливать, то только на loopback-интерфейс сервера. Или прямо на локальный компьютер 😀

Кстати, с обычными админками я часто точно так же поступаю. Правда, у меня это обычно "тонкие клиенты", использующие аутентификационные данные СУБД, хотя вход под именем условного рута блокируется.

estic #:
В pma/pgadmin... войти под условным рутом

Кстати, посмотрел документацию на эти админки. Тоже можно заблокировать вход под рутом.

Домены на продажу: https://p20.ru/collection/domains-for-sale
W1
На сайте с 22.01.2021
Offline
306
#152
estic #:
В pma/pgadmin вы практически любой запрос можете выполнить, войти под условным рутом.

Ну и где ты достанешь пароль рута?

Мой форум - https://webinfo.guru –Там я всегда на связи
I7
На сайте с 12.06.2008
Offline
365
#153
estic #:
Прокладка прокладке - рознь. В pma/pgadmin вы практически любой запрос можете выполнить, войти под условным рутом. Подобные админки если и устанавливать, то только на loopback-интерфейс сервера. Или прямо на локальный компьютер 😀

А ещё есть такая штука как VPN. Можно открыть доступ только для IP VPN и не городить никакие схемы с управлением БД с локального компьютера.

E
На сайте с 01.10.2017
Offline
105
#154
Ilya74 #:
А ещё есть такая штука как VPN.
Я знаю, спасибо 😀
R8
На сайте с 27.03.2023
Offline
0
#155
Тут пишушие (Aisamiery  и прочие) рассуждают о том, что phpMyAdmin пользуются только идиоты и заднеприводные, причем так уверенно, что я аж засомневался )) И спросил у своего непосредственного начальника - он у нас действительно программист, что называется от бога. У нас на самом деле в некоторых проектах нет phpMyAdmin и работаем напрямую с тестовыми и боевыми через MySQL Workbench например.

Так начальник сказал, что никакой опасности от phpMyAdmin нет. Единственно сложный пароль + менять его иногда. И если так хочется, то дополнительно закрыть его за htpasswd apache. Все.

Shared-хостинг кстати дополнительно имеет свои примочки от Bruteforce защищающие.
Aisamiery
На сайте с 12.04.2015
Offline
302
#156
Random88 #:
Тут пишушие (Aisamiery  и прочие) рассуждают о том, что phpMyAdmin пользуются только идиоты и заднеприводные, причем так уверенно, что я аж засомневался ))

Сломанный телефон =)) phpMyAdmin открытый в мир (а это важное условие) выступает в роли точки проникновение, вы сами это подтверждаете

Random88 #:
Единственно сложный пароль + менять его иногда. И если так хочется, то дополнительно закрыть его за htpasswd apache. Все.

Единственно верное решение не ставить его на продакшен среду вообще и вот этого всего не надо будет, работать в том числе с БД можно и удобно и безопасно.
При том никто вменяемо ответить и не смог зачем им этот phpMyAdmin постоянно весящий шелом наружу, все какие то отписки из разряда "случаи всякие бывают" 

Разработка проектов на Symfony, Laravel, 1C-Bitrix, UMI.CMS, OctoberCMS
Vladimir
На сайте с 07.06.2004
Offline
562
#157
Aisamiery #:

phpMyAdmin открытый в мир (а это важное условие) выступает в роли точки проникновение, вы сами это подтверждаете

Если у вас phpMyAdmin открытый в мир, то у вас действительно точка проникновения.
Просто закрыть не пробовали?

Аэройога ( https://vk.com/aeroyogadom ) Йога в гамаках ( https://vk.com/aero_yoga ) Аэройога обучение ( https://aeroyoga.ru ) и просто фото ( https://weandworld.com )
Vladimir
На сайте с 07.06.2004
Offline
562
#158
Mukanov :
 То есть HTML и PHP в плане защиты от взлома сайта и безопасности как соотносятся ?

Никак, одинаково

Snake800
На сайте с 02.02.2011
Offline
222
#159
Общение в топике всё больше напоминает разговор людей во время хорошего застолья ))
E
На сайте с 01.10.2017
Offline
105
#160
Random88 #:
htpasswd apache

О боже! Базовая аутентификация, Apache (httpd) 😂

На самом деле любой стек имеет право на жизнь. Применительно к pma здесь писали о двух вещах:

  • многие ее не используют просто за ненадобностью;
  • не должна "смотреть в мир" напрямую любая подобная админка и СУБД (можно защищать каналы, но не так, как вы предложили).

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий