ну вот вишь, какая польза от общения - хорошее настроение
а по теме, попроси кого-то рядом поднять локалхост и взломай его и получи все данные, не на словах, а получи.
да и наша тема не ограничивается только технической стороной, возможны и еше варианты и в офлайне тоже. все в цене вопроса.
Как ты себе это представляешь? А если у тебя под базу используется 2 и более серваков?
Да ты запаришься бегать анализировать логи. Если ты будешь при малейшем шорохе отключать базу, она у тебя постоянно будет в отключке. Потому что полно школьников-идиотов, которые будут любыми способами взломать твой серв. Тебя будут сканить, брутить, подставлять ковычки, пробывать xss и прочую хрень вытворять, все твои ids/ips,мод_секур и прочие безопасники, будут просто рыдать глядя на это.
как раз это меня меньше всего беспокоит. иногда специально не трогаю идиотов, чтобы понаблюдать за сообразительностью.
а от кол-ва серверов разве что-то зависит?
трудно управлять двумя-тремя серверами, потом кол-во не имеет значение.
если гиганто-мания... то под расстрел,
ддосы, бруты, сканы можно поставить дешевые фронт-енды, где толком нихрена и не будет, даже и апача там может не быть
они будут тупо держать пиковую сетевую нагрузку, а брутить и сканить там особо нечего будет. ладно, это лирическое отступление.
intval и mysql_real_escape_string вот две функции на пхп которые полностью решат проблем взлома через скуль. А также все остальное.
да НЕТУ SQL-я,
НЕТУ. забудь про него. а иньекции - это вообще... ну не знаю какое слово юмора подобрать.
Вообщем, для тех кто хочет, все это сделать по нормальному и не страдает излишней паранойей советую следующее:
1) Фильтруйте данные !ВСЕГДА!, ибо у вас должно работать с любыми входящими данные, а отключать базу - это не выход.
как раз я об ЭТОМ и говорю. фильтрация - ДА, инъекция - смешно... (при затратах на разработку защиты и безопасности, это действительно смешно).
2) Используйте Mysql Proxy
читаем тут *** скрытое содержание ***
Позволит балансировать нагрузку, расширить логгирование, исправление невалида, анализатор sql инъекции, модифицировать запросы, фильтровать и т.д.
да, да, да. но мы говорим как раз о разных вещах, хотя и о похожих...
Mysql Proxy - это и есть "интерфейс доступа к БД", с одним отличием, что SQL-я не существует.
не нужно подстраиваться под все конечные приложения, лучше посмотрите, что у вордпреса внутри или у многих цмс тоже.
при постановке вопроса безопасности переписывается весь модуль работы с данными. есть запрос данных - есть ответ.
SQL?? - **х... только вопрос - ответ и это не sql
ну неужели вы не писали приложения, где в качестве универсально источника данных может выступать далеко не sql?
да и если это sql источник, то почему он должен понимать команды sql-я переданные в параметрах хз знает где??
инъекция - это мимо, другой вариант...
