WN - Är det vanligt att använda sitt webbhost konto på

WN (https://www.wn.se/forum/index.php)

- Serversidans teknologier (https://www.wn.se/forum/forumdisplay.php?f=4)

- - Är det vanligt att använda sitt webbhost konto på (https://www.wn.se/forum/showthread.php?t=28050)

Är det vanligt att använda sitt webbhost konto på sina php,mysql databaskopplingar?
Jag tycker det verkar osäkert att ha

mitt_webbhotells_login
mitt_webbhotells_pass

även på mina php,mysql sidor såhär:

Kod:

$host='localhost';  // Hostname of MySQL server

$dbUser='mitt_webbhotells_login';  // Username for MySQL

$dbPass='mitt_webbhotells_pass';  // Password for user

$dbName='databasen'; // Database name



// Instantiate MySQL connection

$db=& new MySQL($host,$dbUser,$dbPass,$dbName);

Om jag kodar min php sida dåligt då kan ju denna kod eller delar av den möjligen visa sig för hela Internet. Då kan ju jag även riskera att folk ute på Internet kan gå in på mitt webbhotellskonto och förstöra och stjäla mitt domännamn.

Eller oroar jag mig för mycket i onödan? För jag skulle hellre skapa en sekundär user/pass för mina php sidor såhär med mindre privilegier och separat från mitt webbhotellskonto:

Kod:

CREATE DATABASE databasen;





# --------------------------------------------------------------

# Skapa en användare "bara_for_surfare"

# --------------------------------------------------------------



/*

Användaren "bara_for_surfare" ska kunna ansluta sig från den lokala datorn ("localhost") och

utföra alla nödvändiga datamanipuleringskommandon på alla tabeller i databasen "databasen".

*/



GRANT SELECT, INSERT, UPDATE, DELETE, INDEX

        ON databasen.*

        TO bara_for_surfare@localhost

        IDENTIFIED BY 'ett_publikt_losenord';

Du lägger sidan med inloggningsuppgifter utanför rotkatalogen för sidan och inkluderar den via include(). Annars kan du ge sidan med inloggninsuppgifter ändelsen *.inc och så kan du lägga till i .htaccess en spärr mot att visa just *.inc-filer.

Naturligtvis så har det konto som kör webbsidan starkt beskurna rättigheter.

Ja, att ha samma lösenord på MySQL-databas och på Shell-kontot var dåligt "på den gamla goda tiden" när Linux-baserade webbhotell inte körde su_exec, eller något annan typ av "Shell-jail". Då gick det ofta att flytta över t.ex. en annan användares index.php och ta redan på ett filnamn på en fil där login och lösen till MySQL-databasen finns, för att sedan kunna använda detta lösenord för att logga in på det Shell-kontot. Idag så gissar jag att det inte finns något webbhotell kvar som inte har någon Shell-jail, så det är nog inget större problem.

Mitt webbhotell har gjort mysql-kommandotolken och phpmyadmin riktigt handikappat man kan inte använda dem alls för smidig system administration. Inte heller får jag koppla in hemsidans databas till MySQL Query Browser för snabb översikt av tabeller och data.

Var tvungen att använda hotellets eget hemsnickrade verktyg för att skapa databas samt lägga till ny mysqlanvändare. Slutet gott allting gott förutom att jag saknar smidigheten med att använda verktygen MySQL Query Browser och mysql-kommandotolken med fulla rättigheter över nätet :(

mysql login, user och databas ska man kunna ändra till lite vad som helst.
sedan att vissa kontrollpaneler lägger till en prefix före login och databasnamnet ser jag inte som ett problem.
men att man blir tvungen att ha samma för sitt webbkonto, ftp, kontrollpanel, mysql, mail, osv är extremt osäkert.
om man råkar göra något halvt osäkert o någon får in lite php/mysql kommandon så hjälper ju inte en include()..
enkelt för personen att göra en egen include fast istället för att köra koden så visas den som ren text..
och att lösenord o login för mysql är densamma för att få full tillgång till ett konto är inte bra..
se till att säga till ditt hotell detta eller så prioriterar du..
vill du vara kvar eller byta. det kanske inte är så farligt..
är ju bara du som kan avgöra egentligen då det är din egendom o ditt arbete.