Re: Piratage Mysql

To: debian-user-french@lists.debian.org
Subject: Re: Piratage Mysql
From: Aéris <aeris@imirhil.fr>
Date: Sat, 17 Sep 2011 01:07:33 +0200
Message-id: <[🔎] 4e73d6b5$0$11287$426a34cc@news.free.fr>
In-reply-to: <hBPeF-QW-1@gated-at.bofh.it>
References: <[🔎] 20110915204121.GA11056@zulian.com> <[🔎] 4e726889$0$7290$426a74cc@news.free.fr> <[🔎] 20110916213204.GB10051@zulian.com> <[🔎] 4e73c747$0$15056$426a34cc@news.free.fr> <[🔎] 20110917003712.0eda03b3@anubis.defcon1>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 17/09/2011 00:40, Jean-Yves F. Barbier a écrit :
> ben, d'après ce qu'il dit l'accès vers le svr mysql est ouvert (p3306)

Ce qui n'est pas recommandable effectivement, mais qui ne semble pas le
vecteur de ce piratage.

> ça n'est pas tout à fait vrai: disons plutôt tant que les programmeurs php
> ne contrôleront correctement ni leurs morceaux de code ni les droits des
> fichiers & directories.

Certes, mais PHP ne fait rien pour inciter à du code propre et à de
belles applications.

Le cœur même de PHP est totalement délirant en matière de bonnes pratiques :
— API hétérogènes et mouvantes,
— Intégration d'une foultitude de « librairies » directement dans le core
— Paramétrage hérétique (magic_quote_gpc ><),
— Aucun respect d'une quelconque de normes de codage,

Même le PHP Engine n'est pas thread-safe et plombe Apache (pre-fork au
lieu de worker) ou incite à l'ultra-crade-pas-sécurisé (fast-cgi).

Comment espérer des applis correctes quand l'environnement dans lequel
elles vont tourner est moisi jusqu'à la moëlle ?

> Mais au risque de me répéter, la meilleure parade reste d'inclure le code
> "actif" dans la DB (procs stockées); mais je doute qu'à ce jour ce soit facile
> (voire même possible à 100%) avec mysql.

C'est extrème comme solution, et totalement innapplicable sur une
application digne de ce nom, que cela soit en PHP ou non et MySQL ou non.
Tu imagines le nombre de stored-proc nécessaires ? De toutes les
variantes de paramètres et/ou de sorties différentes ?
Du coût monstrueux de maintenance d'un tel système ?
Et qu'une telle application serait figée dans le marbre à jamais, toute
évolution future étant vouée à l'échec ?

- -- 
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOc9awAAoJEK8zQvxDY4P9hKUIAJcxOLzRUU1Cz5GkFrKnVarb
W7qAkn5/QV0GvlWQSeLH7upVqsjbJVqr05X4y03+oLTXx6tzi/Rxk2CDsVrfnab7
AiH47O0U3RbFEge/Qm4wODD6rf/eoUrujVMJSUVRMMwmk2f37Sp5ilOkVqCqXi2p
MpXBSmAcMQiMRjTwdEKI+URBEIcfgrVjwQf6iYzhNzXzjfqFiZT83vzIC+v0XKT1
GHo2xpw4JGRAeqWEtxItGYQ6ejCOKqQ4U/28+E9Fqs4b9aGp+Y9UEKhbwic4kPVv
T47b3UJHKvlXy4utpz810zM2oq+O32ElUYE+oSUzsYOV6J6J9tDukD6odj9pdV8=
=9KYH
-----END PGP SIGNATURE-----

Reply to:

Follow-Ups:
- Re: Piratage Mysql
  - From: "Jean-Yves F. Barbier" <12ukwn@gmail.com>
- Re: Piratage Mysql
  - From: Basile Starynkevitch <basile@starynkevitch.net>

References:
- Piratage Mysql
  - From: Frédéric ZULIAN <zulian@free.fr>
- Re: Piratage Mysql
  - From: Aéris <aeris@imirhil.fr>
- Re: Piratage Mysql
  - From: Frédéric ZULIAN <zulian@free.fr>
- Re: Piratage Mysql
  - From: Aéris <aeris@imirhil.fr>
- Re: Piratage Mysql
  - From: "Jean-Yves F. Barbier" <12ukwn@gmail.com>

Prev by Date: Re: Piratage Mysql
Next by Date: Re: Piratage Mysql
Previous by thread: Re: Piratage Mysql
Next by thread: Re: Piratage Mysql
Index(es):
- Date
- Thread