Hallo,

wie sieht es im vbulletin bezüglich Datenbankzugriff aus?
Das läuft doch auch über PHP; da kann doch theoretisch der Admin über phpMyAdmin in die Datenbank vordringen und Daten ändern bzw. Beiträge mitlesen.
Das wird sich wohl nicht vermeiden lassen und wird bei allen PHP/SQL-Forensystem so sein?
Ich sehe das auch voll ein, jedoch mein Kunde, für den ich ein Board einrichten soll, sieht hier eine Sicherheitslücke.

Achja: dieses Board ist aber nicht das Standard-vbulletion, oder? Da sind doch zahlreiche Zusatzmodule eingebaut

Du kannst aber den Zugriff auf phpMyAdmin durch htaccess-Schutz einstellen. Da kann dann nur noch der ran, der Benutzer und Passwort kennt.

Selbiges ist auch für Admin- und Modpanel empfehlenswert.

Gruss Fish

Original geschrieben von hmueller
Hallo,

(...)
Das wird sich wohl nicht vermeiden lassen und wird bei allen PHP/SQL-Forensystem so sein?


ja. das gilt aber für jede software die eine datenbank verwendet, nicht nur für forensysteme.



Ich sehe das auch voll ein, jedoch mein Kunde, für den ich ein Board einrichten soll, sieht hier eine Sicherheitslücke.


wo sieht er die?
phpmyadmin ist doch nicht öffentlich zugänglich, das wird ja gewöhnlich passwortgeschützt. daher kann da eigentlich keine sicherheitslücke entstehen. z.b. durch .htaccess wie "daFish" schon geschrieben hat. wem dein kunde den zugriff auf phpmyadmin erlauben will kann er ja selbst entscheiden.



Achja: dieses Board ist aber nicht das Standard-vbulletion, oder? Da sind doch zahlreiche Zusatzmodule eingebaut

nein. dies ist eine standardinstallation.

Original geschrieben von hmueller
Hallo,

wie sieht es im vbulletin bezüglich Datenbankzugriff aus?
Das läuft doch auch über PHP; da kann doch theoretisch der Admin über phpMyAdmin in die Datenbank vordringen und Daten ändern bzw. Beiträge mitlesen.
Du meinst den Server Admin? Der kann sowieso alles. Deshalb ist er Admin. Er braucht dazu auch nicht mal phpMyAdmin.


Original geschrieben von hmueller
Das wird sich wohl nicht vermeiden lassen und wird bei allen PHP/SQL-Forensystem so sein?
Das ist auf jedem Server so. Der Admin kann eMails lesen, Gästebucher, eben alles.


Original geschrieben von hmueller
Ich sehe das auch voll ein, jedoch mein Kunde, für den ich ein Board einrichten soll, sieht hier eine Sicherheitslücke.
Dem kann nur vorgebeugt werden, wenn Dein Kunde seinen eigenen Server betreibt. Dann ist er Admin und muss keine Angst haben, dass andere etwas lesen, was sie nicht lesen sollen.


Original geschrieben von hmueller
Achja: dieses Board ist aber nicht das Standard-vbulletion, oder? Da sind doch zahlreiche Zusatzmodule eingebaut
Nein, wie martin schon sagt, ist dies genau das, was jeder Kunde bekommt.