SELFPHP: Version 5.8.2 Befehlsreferenz - Tutorial – Kochbuch – Forum für PHP Einsteiger und professionelle Entwickler

SELFPHP


Professional CronJob-Service

Suche



CronJob-Service    
bei SELFPHP mit ...



 + minütlichen Aufrufen
 + eigenem Crontab Eintrag
 + unbegrenzten CronJobs
 + Statistiken
 + Beispielaufrufen
 + Control-Bereich

Führen Sie mit den CronJobs von SELFPHP zeitgesteuert Programme auf Ihrem Server aus. Weitere Infos



:: Buchempfehlung ::

Websites optimieren für Google & Co.

Websites optimieren für Google & Co. zur Buchempfehlung
 

:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP  

 

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!

Vorname: 
Name:
E-Mail:
 
 

Zurück   PHP Forum > SELFPHP > MySQLi/PDO/(MySQL)

MySQLi/PDO/(MySQL) Anfänger, Fortgeschrittene oder Experten können hier Fragen und Probleme rund um MySQLi/PDO/(MySQL) diskutieren

Antwort
 
Themen-Optionen Ansicht
  #1  
Alt 20.07.2009, 18:02:47
KriZa KriZa ist offline
Anfänger
 
Registriert seit: Jul 2009
Alter: 33
Beiträge: 5
Rechteproblem bei MySQL

Hallo,

ich hab ein kleines Rechteproblem.
Ich möchte einen Nutzer erstellen, der Abfragen ausführen kann. Schonmal kein Problem. Die Abfragen haben aber einen Haken. Ich habe eine Spalte Passwort, die nur in der WHERE Klausel abgefragt werden darf, nicht aber in der SELECT. Geht sowas?

Also zu Erklärung: die Abfrage soll Nutzername und Passwort vergleichen und ID ausgeben. Entziehe ich dem Nutzer aber die SELECT Rechte auf Passwort, kann ich die Abfrage nicht korrekt durchführen, da eine Fehlermeldung kommt. Ich will aber nicht, dass wenn jemand die Zugangsdaten bekommt, dass er Passwörter aus der Datei fischen kann, auch wenn Sie mit SHA1 kodiert sind. So könnte er ja eine eigene Anwendung schreiben und alle Passwörter einfach abfragen und nutzen.

Gruß und Dank
Mit Zitat antworten
  #2  
Alt 20.07.2009, 18:11:50
Benutzerbild von vt1816
vt1816 vt1816 ist offline
Administrator
 
Registriert seit: Jul 2004
Beiträge: 3.707
AW: Rechteproblem bei MySQL

Hallo und willkommen hier im Forum!


Zitat:
Zitat von KriZa Beitrag anzeigen
Hallo,

ich hab ein kleines Rechteproblem.
Ich möchte einen Nutzer erstellen, der Abfragen ausführen kann. Schonmal kein Problem. Die Abfragen haben aber einen Haken. Ich habe eine Spalte Passwort, die nur in der WHERE Klausel abgefragt werden darf, nicht aber in der SELECT. Geht sowas?
WHERE ohne SELECT geht nicht, da WHERE nur in Zusammenhang mit SELECT genutzt werden kann. Was sollte es auch für eine Sinn machen. Wenn er/Du/ich die WHERE-Klausel richtig formuliert, kommen eh alle Datensätze zum Vorschein.
__________________
Gruss vt1816
Erwarte nicht, dass sich jemand mehr Mühe mit der Antwort gibt als Du Dir mit der Frage.
. . . . . Feedback wäre wünschenswert

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.
Ansosnten gilt: Hilfe ausserhalb dieses Thread (PN, WhatsApp, Skype, Mail, ICQ, etc...) nur per Barzahlung oder Vorauskasse!

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #3  
Alt 20.07.2009, 18:16:34
KriZa KriZa ist offline
Anfänger
 
Registriert seit: Jul 2009
Alter: 33
Beiträge: 5
AW: Rechteproblem bei MySQL

Hallo!

Das macht in diesem Kontext schon Sinn finde ich.

Zitat:
Zitat von vt1816 Beitrag anzeigen
WHERE ohne SELECT geht nicht, da WHERE nur in Zusammenhang mit SELECT genutzt werden kann.
Stimmt ja so eigentlich nicht. Ich kann ja auch die WHERE-Klausel mit Bedingungen füllen, ohne sie über SELECT abzurufen (solange ich natürlich nicht mit '*' arbeite). Oder hab ich dich jetzt falsch verstanden?
Mit Zitat antworten
  #4  
Alt 20.07.2009, 18:23:33
Benutzerbild von vt1816
vt1816 vt1816 ist offline
Administrator
 
Registriert seit: Jul 2004
Beiträge: 3.707
AW: Rechteproblem bei MySQL

Dann zeig uns mal bitte ein SQL-Statment in dem nur WHERE (ohne SELECT) benutzt wird.
__________________
Gruss vt1816
Erwarte nicht, dass sich jemand mehr Mühe mit der Antwort gibt als Du Dir mit der Frage.
. . . . . Feedback wäre wünschenswert

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.
Ansosnten gilt: Hilfe ausserhalb dieses Thread (PN, WhatsApp, Skype, Mail, ICQ, etc...) nur per Barzahlung oder Vorauskasse!

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #5  
Alt 20.07.2009, 18:32:33
KriZa KriZa ist offline
Anfänger
 
Registriert seit: Jul 2009
Alter: 33
Beiträge: 5
AW: Rechteproblem bei MySQL

Ja - ok - ich hab dich falsch verstanden. Ich meinte das anders. Nicht ohne SELECT - sondern nur ohne Angabe in der SELECT-Klausel.
Mit Zitat antworten
  #6  
Alt 20.07.2009, 18:41:12
Benutzerbild von vt1816
vt1816 vt1816 ist offline
Administrator
 
Registriert seit: Jul 2004
Beiträge: 3.707
AW: Rechteproblem bei MySQL

Wie soll Deiner Meinung nach das jetzt funktionieren? Du gibst ihr/ihm die entsprechenden Rechte (setzten mal voraus es funktioniert) und sie/er darf dann was eingeben/absetzten/abfragen? Gib bitte mal auch hier für ein Beispiel wie Du Dir das vorstellst - dann wird Dein Problem vllt. klarer.
__________________
Gruss vt1816
Erwarte nicht, dass sich jemand mehr Mühe mit der Antwort gibt als Du Dir mit der Frage.
. . . . . Feedback wäre wünschenswert

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.
Ansosnten gilt: Hilfe ausserhalb dieses Thread (PN, WhatsApp, Skype, Mail, ICQ, etc...) nur per Barzahlung oder Vorauskasse!

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #7  
Alt 20.07.2009, 18:54:46
KriZa KriZa ist offline
Anfänger
 
Registriert seit: Jul 2009
Alter: 33
Beiträge: 5
AW: Rechteproblem bei MySQL

Also ich habe dann folgende Abfrage:

Tabelle: Nutzer
Spalten: ID, Nutzername, Passwort

Ich gebe dem Nutzer die ganz normalen Rechte SELECT über die Spalte ID.
Ich gebe dem Nutzer meine gerade erfundenen Rechte "WHERE" über die Spalten Nutzername und Passwort. Diese kann er nur in der WHERE-Klausel verwenden, nicht aber in der SELECT-Klausel.

So würde folgende Abfrage die ID des test-Kunden liefern:
SELCT ID FROM Nutzer WHERE Nutzername = 'test' AND Passwort = 'xyz'

aber folgende Funktion einen Fehler (von MySQL ausgehend) verursachen:
SELCT ID, Passwort FROM Nutzer WHERE Nutzername = 'test' AND Passwort = 'xyz'

Ich will im Endeffekt nur den Nutzer daran hindern, Daten abzurufen, die ihn nichts angehen, ihm aber den Zugriff über die Vergleichbarkeit der Daten lassen. Das halte ich für sicherheitsrelevant. Situation: Ein Partner von uns soll ein Modul programmieren, bei dem es auch einen Loginbereich gibt. Ich kann dem Partner aber doch schlecht einen Zugang liefern, der Ihm den Zugriff auf Kundendaten sichert.
Mit Zitat antworten
  #8  
Alt 20.07.2009, 19:01:12
Benutzerbild von vt1816
vt1816 vt1816 ist offline
Administrator
 
Registriert seit: Jul 2004
Beiträge: 3.707
AW: Rechteproblem bei MySQL

Deinen Wunsch nach Sicherheit habe ich verstanden. Nur kann ich Deinen Gedankengängen noch nicht ganz folgen.

Dein Zauberwort sollte aber TESTUMGEBUNG heißen. Welche Daten darin sichtbar sind obliegt Dir bei der Einrichtung der Testumgebung. Auf den ECHT-Datenbestand würde ich den Partner dann nicht lassen.
__________________
Gruss vt1816
Erwarte nicht, dass sich jemand mehr Mühe mit der Antwort gibt als Du Dir mit der Frage.
. . . . . Feedback wäre wünschenswert

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.
Ansosnten gilt: Hilfe ausserhalb dieses Thread (PN, WhatsApp, Skype, Mail, ICQ, etc...) nur per Barzahlung oder Vorauskasse!

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #9  
Alt 20.07.2009, 19:23:55
Crisps Crisps ist offline
Junior Member
 
Registriert seit: Oct 2008
Alter: 47
Beiträge: 274
AW: Rechteproblem bei MySQL

Das funktioniert, soweit ich weiß, nicht. Man kann zwar SELECT-Privilegien auf bestimmte Spalten setzen - bsp:

Code:
GRANT SELECT(ID) ON Nutzer TO DEINBENUTZER@localhost;
Aber in diesem Fall wäre auch der WHERE Teil von der Restriktion betroffen...
Mit Zitat antworten
  #10  
Alt 21.07.2009, 10:07:34
KriZa KriZa ist offline
Anfänger
 
Registriert seit: Jul 2009
Alter: 33
Beiträge: 5
AW: Rechteproblem bei MySQL

Ok, danke für die Antworten. Schade eigentlich - sollte man evtl mal über die Umsetzung nachdenken. Naja gut, der Fall ist recht spezifisch, aber Sicherheitstechnisch sinnvoll.

Grüße und Danke für die Antworten!
Mit Zitat antworten
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind aus.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
MySQL 4 "große" Abfragen coder90 MySQLi/PDO/(MySQL) 0 06.09.2008 14:45:08
Mysql startet nicht oberonal MySQLi/PDO/(MySQL) 3 24.11.2006 10:41:31
MySQL Page Script. Problem. dtone MySQLi/PDO/(MySQL) 8 15.10.2006 15:58:06
MySQL Connect Problem DanielEXQ2 PHP Grundlagen 8 14.05.2005 03:07:55
MySQL - ORDER BY RAND() und PHP MacMarc PHP Grundlagen 15 05.12.2002 23:23:39


Alle Zeitangaben in WEZ +2. Es ist jetzt 14:43:47 Uhr.


Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.


© 2001-2024 E-Mail SELFPHP OHG, info@selfphp.deImpressumKontakt