CronJob-Service
bei SELFPHP mit ...
|
+ minütlichen Aufrufen
+ eigenem Crontab Eintrag
+ unbegrenzten CronJobs
+ Statistiken
+ Beispielaufrufen
+ Control-Bereich
Führen Sie mit den CronJobs von
SELFPHP zeitgesteuert Programme
auf Ihrem Server
aus. Weitere Infos
|
:: Anbieterverzeichnis ::
Globale Branchen
Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP
:: Newsletter ::
Abonnieren Sie hier den kostenlosen
SELFPHP Newsletter!
|
MySQLi/PDO/(MySQL) Anfänger, Fortgeschrittene oder Experten können hier Fragen und Probleme rund um MySQLi/PDO/(MySQL) diskutieren |
20.07.2009, 18:02:47
|
Anfänger
|
|
Registriert seit: Jul 2009
Alter: 33
Beiträge: 5
|
|
Rechteproblem bei MySQL
Hallo,
ich hab ein kleines Rechteproblem.
Ich möchte einen Nutzer erstellen, der Abfragen ausführen kann. Schonmal kein Problem. Die Abfragen haben aber einen Haken. Ich habe eine Spalte Passwort, die nur in der WHERE Klausel abgefragt werden darf, nicht aber in der SELECT. Geht sowas?
Also zu Erklärung: die Abfrage soll Nutzername und Passwort vergleichen und ID ausgeben. Entziehe ich dem Nutzer aber die SELECT Rechte auf Passwort, kann ich die Abfrage nicht korrekt durchführen, da eine Fehlermeldung kommt. Ich will aber nicht, dass wenn jemand die Zugangsdaten bekommt, dass er Passwörter aus der Datei fischen kann, auch wenn Sie mit SHA1 kodiert sind. So könnte er ja eine eigene Anwendung schreiben und alle Passwörter einfach abfragen und nutzen.
Gruß und Dank
|
20.07.2009, 18:11:50
|
|
Administrator
|
|
Registriert seit: Jul 2004
Beiträge: 3.707
|
|
AW: Rechteproblem bei MySQL
Hallo und willkommen hier im Forum!
Zitat:
Zitat von KriZa
Hallo,
ich hab ein kleines Rechteproblem.
Ich möchte einen Nutzer erstellen, der Abfragen ausführen kann. Schonmal kein Problem. Die Abfragen haben aber einen Haken. Ich habe eine Spalte Passwort, die nur in der WHERE Klausel abgefragt werden darf, nicht aber in der SELECT. Geht sowas?
|
WHERE ohne SELECT geht nicht, da WHERE nur in Zusammenhang mit SELECT genutzt werden kann. Was sollte es auch für eine Sinn machen. Wenn er/Du/ich die WHERE-Klausel richtig formuliert, kommen eh alle Datensätze zum Vorschein.
__________________
Gruss vt1816
Erwarte nicht, dass sich jemand mehr Mühe mit der Antwort gibt als Du Dir mit der Frage.
. . . . . Feedback wäre wünschenswert
Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.
Ansosnten gilt: Hilfe ausserhalb dieses Thread (PN, WhatsApp, Skype, Mail, ICQ, etc...) nur per Barzahlung oder Vorauskasse!
Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
|
20.07.2009, 18:16:34
|
Anfänger
|
|
Registriert seit: Jul 2009
Alter: 33
Beiträge: 5
|
|
AW: Rechteproblem bei MySQL
Hallo!
Das macht in diesem Kontext schon Sinn finde ich.
Zitat:
Zitat von vt1816
WHERE ohne SELECT geht nicht, da WHERE nur in Zusammenhang mit SELECT genutzt werden kann.
|
Stimmt ja so eigentlich nicht. Ich kann ja auch die WHERE-Klausel mit Bedingungen füllen, ohne sie über SELECT abzurufen (solange ich natürlich nicht mit '*' arbeite). Oder hab ich dich jetzt falsch verstanden?
|
20.07.2009, 18:23:33
|
|
Administrator
|
|
Registriert seit: Jul 2004
Beiträge: 3.707
|
|
AW: Rechteproblem bei MySQL
Dann zeig uns mal bitte ein SQL-Statment in dem nur WHERE (ohne SELECT) benutzt wird.
__________________
Gruss vt1816
Erwarte nicht, dass sich jemand mehr Mühe mit der Antwort gibt als Du Dir mit der Frage.
. . . . . Feedback wäre wünschenswert
Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.
Ansosnten gilt: Hilfe ausserhalb dieses Thread (PN, WhatsApp, Skype, Mail, ICQ, etc...) nur per Barzahlung oder Vorauskasse!
Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
|
20.07.2009, 18:32:33
|
Anfänger
|
|
Registriert seit: Jul 2009
Alter: 33
Beiträge: 5
|
|
AW: Rechteproblem bei MySQL
Ja - ok - ich hab dich falsch verstanden. Ich meinte das anders. Nicht ohne SELECT - sondern nur ohne Angabe in der SELECT-Klausel.
|
20.07.2009, 18:41:12
|
|
Administrator
|
|
Registriert seit: Jul 2004
Beiträge: 3.707
|
|
AW: Rechteproblem bei MySQL
Wie soll Deiner Meinung nach das jetzt funktionieren? Du gibst ihr/ihm die entsprechenden Rechte (setzten mal voraus es funktioniert) und sie/er darf dann was eingeben/absetzten/abfragen? Gib bitte mal auch hier für ein Beispiel wie Du Dir das vorstellst - dann wird Dein Problem vllt. klarer.
__________________
Gruss vt1816
Erwarte nicht, dass sich jemand mehr Mühe mit der Antwort gibt als Du Dir mit der Frage.
. . . . . Feedback wäre wünschenswert
Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.
Ansosnten gilt: Hilfe ausserhalb dieses Thread (PN, WhatsApp, Skype, Mail, ICQ, etc...) nur per Barzahlung oder Vorauskasse!
Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
|
20.07.2009, 18:54:46
|
Anfänger
|
|
Registriert seit: Jul 2009
Alter: 33
Beiträge: 5
|
|
AW: Rechteproblem bei MySQL
Also ich habe dann folgende Abfrage:
Tabelle: Nutzer
Spalten: ID, Nutzername, Passwort
Ich gebe dem Nutzer die ganz normalen Rechte SELECT über die Spalte ID.
Ich gebe dem Nutzer meine gerade erfundenen Rechte "WHERE" über die Spalten Nutzername und Passwort. Diese kann er nur in der WHERE-Klausel verwenden, nicht aber in der SELECT-Klausel.
So würde folgende Abfrage die ID des test-Kunden liefern:
SELCT ID FROM Nutzer WHERE Nutzername = 'test' AND Passwort = 'xyz'
aber folgende Funktion einen Fehler (von MySQL ausgehend) verursachen:
SELCT ID, Passwort FROM Nutzer WHERE Nutzername = 'test' AND Passwort = 'xyz'
Ich will im Endeffekt nur den Nutzer daran hindern, Daten abzurufen, die ihn nichts angehen, ihm aber den Zugriff über die Vergleichbarkeit der Daten lassen. Das halte ich für sicherheitsrelevant. Situation: Ein Partner von uns soll ein Modul programmieren, bei dem es auch einen Loginbereich gibt. Ich kann dem Partner aber doch schlecht einen Zugang liefern, der Ihm den Zugriff auf Kundendaten sichert.
|
20.07.2009, 19:01:12
|
|
Administrator
|
|
Registriert seit: Jul 2004
Beiträge: 3.707
|
|
AW: Rechteproblem bei MySQL
Deinen Wunsch nach Sicherheit habe ich verstanden. Nur kann ich Deinen Gedankengängen noch nicht ganz folgen.
Dein Zauberwort sollte aber TESTUMGEBUNG heißen. Welche Daten darin sichtbar sind obliegt Dir bei der Einrichtung der Testumgebung. Auf den ECHT-Datenbestand würde ich den Partner dann nicht lassen.
__________________
Gruss vt1816
Erwarte nicht, dass sich jemand mehr Mühe mit der Antwort gibt als Du Dir mit der Frage.
. . . . . Feedback wäre wünschenswert
Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.
Ansosnten gilt: Hilfe ausserhalb dieses Thread (PN, WhatsApp, Skype, Mail, ICQ, etc...) nur per Barzahlung oder Vorauskasse!
Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
|
20.07.2009, 19:23:55
|
Junior Member
|
|
Registriert seit: Oct 2008
Alter: 47
Beiträge: 274
|
|
AW: Rechteproblem bei MySQL
Das funktioniert, soweit ich weiß, nicht. Man kann zwar SELECT-Privilegien auf bestimmte Spalten setzen - bsp:
Code:
GRANT SELECT(ID) ON Nutzer TO DEINBENUTZER@localhost;
Aber in diesem Fall wäre auch der WHERE Teil von der Restriktion betroffen...
|
21.07.2009, 10:07:34
|
Anfänger
|
|
Registriert seit: Jul 2009
Alter: 33
Beiträge: 5
|
|
AW: Rechteproblem bei MySQL
Ok, danke für die Antworten. Schade eigentlich - sollte man evtl mal über die Umsetzung nachdenken. Naja gut, der Fall ist recht spezifisch, aber Sicherheitstechnisch sinnvoll.
Grüße und Danke für die Antworten!
|
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
|
|
Themen-Optionen |
|
Ansicht |
Linear-Darstellung
|
Forumregeln
|
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
HTML-Code ist aus.
|
|
|
Alle Zeitangaben in WEZ +2. Es ist jetzt 14:43:47 Uhr.
|