Az SQLite veszélyei
A PHP egyik nagyon kényelmes, de emellett (ebből következően?) nagyon veszélyes szolgáltatása (volt?) a böngészőtől érkező adatok automatikus bejegyzése változóként. Ez a szolgáltatás azt a lehetőséget rejti magában, hogy a PHP program írója nem feltétlenül inicializál egy változót, s emiatt azt egy támadó beállíthatja olyan értékre, amiből adódóan hozzáférhet érzékeny információkhoz. Ez egy biztonsági rés lett tehát, s a PHP verziói során alapértelmezett értéke - nagyon helyesen - kikapcsolt lett. Most felmerült: lehet, hogy az SQLite is hasonló fenyegetettséget rejt magában.
Az SQLite egy olyan modul, mely lehetővé teszi SQL műveletekkel történő adatbázismanipulációt adatbázisszerver nélkül. Az adatokat egy fájlban tárolja, s ezeken végez a program műveleteket helyben. Ez persze nem annyira hatékony, mint egy adatbázisszerver, viszont sok esetben egy egyszerű (már megint az egyszerűség!), és könnyen használható lehetőséget biztosít adatbázishasználatra, akkor is, ha a szerver gazdája nem kínál ilyen szolgáltatást.
Van azonban egy gond. Lehet, hogy az ingyenes szolgáltató nem kínál olyan könyvtárat a tárhelyen belül, mely nem elérhető a webszerveren keresztül, vagy pedig a program szerzője figyelmetlen, nem gondolja végig a dolgokat, vagy egyszerűen még nem látja át annyira a PHP programozást, s így az adatbázis egy olyan területre kerül, ahol webszerveren keresztül is elérhető. Egy hibaüzenet, programhiba, rossz szerver beállítás során, vagy pedig azért, mert egy általánosan terjesztett, de rosszul megírt programról van szó, előfordulhat, hogy kiderül, hogy érhető el ez a fájl. Az adatbázis védtelenné fog válni, bárki hozzáférhet. A Google segítségével már most kapunk találatokat a “This file contains an SQLite * database” kifejezésre.
Érdemes erre figyelnünk fejlesztéseink során!
Forrás: Dangers of SQLite Ignorance
■ Az SQLite egy olyan modul, mely lehetővé teszi SQL műveletekkel történő adatbázismanipulációt adatbázisszerver nélkül. Az adatokat egy fájlban tárolja, s ezeken végez a program műveleteket helyben. Ez persze nem annyira hatékony, mint egy adatbázisszerver, viszont sok esetben egy egyszerű (már megint az egyszerűség!), és könnyen használható lehetőséget biztosít adatbázishasználatra, akkor is, ha a szerver gazdája nem kínál ilyen szolgáltatást.
Van azonban egy gond. Lehet, hogy az ingyenes szolgáltató nem kínál olyan könyvtárat a tárhelyen belül, mely nem elérhető a webszerveren keresztül, vagy pedig a program szerzője figyelmetlen, nem gondolja végig a dolgokat, vagy egyszerűen még nem látja át annyira a PHP programozást, s így az adatbázis egy olyan területre kerül, ahol webszerveren keresztül is elérhető. Egy hibaüzenet, programhiba, rossz szerver beállítás során, vagy pedig azért, mert egy általánosan terjesztett, de rosszul megírt programról van szó, előfordulhat, hogy kiderül, hogy érhető el ez a fájl. Az adatbázis védtelenné fog válni, bárki hozzáférhet. A Google segítségével már most kapunk találatokat a “This file contains an SQLite * database” kifejezésre.
Érdemes erre figyelnünk fejlesztéseink során!
Forrás: Dangers of SQLite Ignorance
Nagyon buta a cím :(
Szerencsére ez az ottani cikk kommentjébe is megemlítik, sajnálatos viszont, hogy a cikk, ilyen névvel a cikk írójától, ismételten, nagyon ostobán, létrejött.
Kicsit fejtsed ki bővebben a dolgot...
S félreértés ne essék, ettől még az SQLLite egy nagyon-nagyon jó dolog, rengeteg előnnyel.
-boogie-
ui: írd alá, mert Anonymous-szal vitázni nem egy felemelő érzés. :)
Azt hittem eleg vilagosan irt
C.
De.
-boogie-
nem az itteni hir cime a gaz,
Mondjuk szerintem, ha valaki ennyire ugyse ert hozza (minek csinalja?:) ), de az lehet ugyse olvassa, vagy/es ugyse tudja hova tenni, viszont a cim annal inkabb kelthet "panik"-ot. Tudod, az marad meg az embereben, aki nem tudja mirol van szo igazan, hogy sqlite az veszelyes, rossz, gonosz :)
De nem flamelem tovabb, bocsi :) Csak ugy ki kivankozott.
C.