Zabezpieczenie bazy danych

[cycek1354]

Siema. Mam pewne pytanie... jak zabezpieczyć swoją bazę danych forum przed atakami typu SQL Injection i innymi? Czytam różne poradniki, ale pisze w nich, żeby coś dodać w HTML, itd. natomiast nic nie pisze o tym gdzie to zrobić, itp. Proszę o pomoc.

 

Po ataku na moje forum dodałem prefiksy do tabel. Czy to coś pomoże przy ewentualnym ataku?

 

Jeśli znacie jakieś inne skuteczne zabezpieczenia bazy danych to dajcie znać

Edytowane 7 Kwietnia 2015 przez cycek1354

[DawPi]

Te Twoje w ogóle nie są skuteczne, więc po co pisać o skuteczniejszych.

 

Z ciekawości - daj link do tego poradnik z zabezpieczeniem bazy danych w HTML.

 

A wracając - takie rzeczy zostaw administratorom hostingu, a nie zajmuj się tym Ty.

[tenechu]

Dodatkowym zabezpieczeniem jest pobranie plików z forum z CA a nie z internetu ( nic nie sugeruje )

Dodatkowo zastosowanie się do sugestii w panelu adminia odnośnie bezpieczeństwa i dobry hosting.

Dobre hasła do FTP, do baz danych, do panelu hostingu, najlepiej wygenerowane albo jakieś własne kombinacje.

Edytowane 7 Kwietnia 2015 przez tenechu

[DawPi]

Rozmawiamy stricte o "zabezpieczeniu bazy danych" a nie całego forum.

[Prizmo]

Jak najbardziej ograniczony dostep do jej zawartości.

Preferuje localhost i do widzenia.

[cycek1354]

Bazę danych mam na VPS, więc to samo z siebie powinno być dobre zabezpieczenie. Czy te prefiksy coś dają? Hasła mam poustawiane z generatora.

[DawPi]

Już nic nie dają.

[regit]

Bazę danych mam na VPS, więc to samo z siebie powinno być dobre zabezpieczenie.

Skąd taki wniosek? Wszystko zależy jak masz system na tym VPS skonfigurowany, jeżeli masz dostęp bez ograniczeń do bazy z zewnątrz to normalne, ze będą przejęcia, tak samo pozostałe rzeczy, kto Ci tym VPS zarządza?

[cycek1354]

 

Bazę danych mam na VPS, więc to samo z siebie powinno być dobre zabezpieczenie.

Skąd taki wniosek? Wszystko zależy jak masz system na tym VPS skonfigurowany, jeżeli masz dostęp bez ograniczeń do bazy z zewnątrz to normalne, ze będą przejęcia, tak samo pozostałe rzeczy, kto Ci tym VPS zarządza?

 

 

 

Dzisiaj kolejne włamanie, znowu każdy użytkownik dostał zarząd, a potem usunęli wszystkie posty na forum... Już mnie szlak trafia, bo nie wiem w jaki sposób dostają się do tej bazy... Hasła zmieniane po 10 razy do wszystkiego za pomocą generatora. VPS mamy z Minthost.pl, a zarządzamy sami. Baza danych, jak i wszystko związane z forum tworzone było na root'cie. Już po prostu nie wiem co mam robić... Do root'a, bazy danych i konta na forum (również ACP) hasła poustawiane z generatora. Na dodatek VPS zabezpieczony poprzez logowanie SSH.

Edytowane 10 Kwietnia 2015 przez cycek1354

[DawPi]

Przydałby się audyt forum jak i serwera.

[cycek1354]

Przydałby się audyt forum jak i serwera.

 

Wybacz, ale nie do końca wiem o co Ci chodzi.

[Prizmo]

Obstawiam jakiś pliczek typu I-47 na ftp

I dostaje sie na bieżąco.

Audyt?

Ktoś z doświadczeniem w takich sprawach,aby sprawdził wszystko

Oczywiście za odpowiednie wynagrodzenie.

[cycek1354]

Obstawiam jakiś pliczek typu I-47 na ftp

I dostaje sie na bieżąco.

Audyt?

Ktoś z doświadczeniem w takich sprawach,aby sprawdził wszystko

Oczywiście za odpowiednie wynagrodzenie.

 

Nie możliwe, że mam jakiś pliczek na FTP, bo po pierwszym ataku reinstalowałem VPS'a całego. A wygląda to wszystko tak, jakby sobie wgrywali swoją bazę danych, którą wyciągnęli podczas pierwszego ataku.

[Prizmo]

No niemożliwe.

Wszystko jest mozliwe,wystarczy że w backup który zapewnie przywracałes coś było.

Jak pliki nie miałes prosto od IPS,to sie nie dziwie.

[cycek1354]

No niby trochę racji w tym jest... Zdecydowałem się wszystko usunąć i zacząć od nowa... W związku z tym mam pytanie. Czy forum stawiać na koncie root, czy może nie? Tak samo baza danych. I jak mogę dość skutecznie pozamykać drogi tym gimbusom...?