erlug
[Top] [All Lists]
<prev [Date] next>
[Advanced]
 <prev [Thread] next>

Re: [Erlug] Applicazioni java to php per bypassare mysql...api?

from Maurizio Lemmo - Tannoiser [Permanent Link]
To: ERlug - Lista Pubblica <erlug@xxxxxxxxxxxxxx>
Subject: Re: [Erlug] Applicazioni java to php per bypassare mysql...api?
From: Maurizio Lemmo - Tannoiser <tannoiser@xxxxxxxxxxx>
Date: Fri, 18 Jun 2010 16:03:09 +0200 
* venerdì 18 giugno 2010, alle 15:14, Luca Piccinini scrive:
>       ...E per fare questo che mysql, come tutti i db di livello
> accettabile,
>       prevedono utenti e permessi (nonchè di fissare l'ip di provenienza).
> 
> Spesso bypassabili con del semplice sql injection se lo sviluppatore php non
> sa cosa fa (può capitare dove vi sono molti sviluppatori a progetti
> paralleli sullo stesso db). 

scusa?

>       E ovvio che se si fa accedere a _tutto_ i db come utente root, _poi_
> si
>       sente la necessità di limitare l'accesso.
> 
> Si, ma quindi secondo te dovrei far installare dyndns a tutti gli
> "ipotetici" clienti con ip dinamico per evitare 2 ore di scrittura?!? 
> Poi come farei a creare una vpn con il mysql se l'hosting non è mio? A me me
> pare na str*****ta....

Come ho detto sopra: scusa?

> 
>       Prevedi correttamente l'accesso a specifici utenti, con i grant che
> ti
>       servono (solo select, update, ecc.), e magari vincolati a host
> specifici
>       e vedrai che tutto funziona meglio.
> 
> Lo faccio da una vita, ma è molto limitante in applicazioni da distribuire
> in larga scala, molto più economico e semplice sbattersi per creare le api
> come d'altronde forniscono tutti i siti "grossi" (face book, blogger,
> ecc...)

No. Le due cose non si escludono affatto (anzi). Semplicemente hanno
"domini" differenti.
Le *applicazioni core* si collegano direttamente al db, provvisti
verosimilmente accessi dedicati (utenze, privilegi, ecc).
Le *funzionalità* le *puoi* (ed è ovviamente una buona idea)
estrinsecare/astrarre proporre via un api/webservices/quellochetipare.

Poi è questione di scala e design, ma la logica di fondo questa è.

Detto questo, se tu vuoi fare un api, benissimo, ottimo, nulla osta. Se
è una questione d'esercizio ovviamente nulla cambia. Ma fare un api
perchè "non ho la porta aperta e non la voglio aprire per questioni di
sicurezza" significa avere poca confidenza negli strumenti che si usano.

-- 
                          Maurizio - Tannoiser - Lemmo
                 Founder Member of ERLUG http://erlug.linux.it
-------------------------------------------------------------------------------
BOFH excuse #26:

first Saturday after first full moon in Winter
<Prev in Thread] Current Thread [Next in Thread>
Previous by Date:  Re: [Erlug] R: Applicazioni java to php per bypassare mysql...api?, Marco Mariani
Next by Date:  Re: [Erlug] Applicazioni java to php per bypassare mysql...api?, Giulio Iotti
Previous by Thread:  Re: [Erlug] R: Applicazioni java to php per bypassare mysql...api?, Marco Mariani
Next by Thread:  Re: [Erlug] Applicazioni java to php per bypassare mysql...api?, Giulio Iotti
Indexes:  [Date] [Thread] [Top] [All Lists]