LINUX.ORG.RU

phpMyAdmin 2.5.2


0

0

22 июля 2003 года вышла новая версия phpMyAdmin - phpMyAdmin 2.5.2. Поддержка MySQL 4.1 все еще на экспериментальном (тестовом) уровне. В этой версии улучшена поддержка с чарсетами в таблицах и полях MySQL 4.1. Улучшения в визуальном редакторе для PDF schema, возможность выборки размера листа для подготовки PDF отчета. Улучшенная функциональность Export, включая экспорт больших таблиц. Исправления, касающиеся MySQL 4.1. Также, теперь для удаления множества таблиц в MySQL 4 используется TRUNCATE. Автоопределение GD2. Определение Safari. И еще много улучшений и исправлений.

>>> Подробности



Проверено: maxcom

> Нафига это говна надо, всё ж можно из командной строки сделать.

Поймешь, когда будешь держать хостинг, например.

e-lite
() автор топика

Надеюсь anonymous (*) (2003-07-23 14:50:28.95761) понимает, что речь идет о phpMyAdmin а не о Webmin.

NiKel
()

Херня все это
Хостинг не хостинг все должно делаться из коммандной строки
Остальное от лукавого

anonymous
()

Консоль и я на нее молюсь, разве это не тупо??? Для управления даже рабочей группой уже консоль не подходит, приходится самому что-то писать, либо использовать чью то разработку. Лично я в своё время написал программу-управение БД(я тогда не знал о phpMyAdmin). После написания программы у меня стало значительно больше времени. Тем более я админю сервак стоящий в другом городе... трафик вся беда, Я лично сказал нет консоли, ее можно использывать только как отладчик и не более!!!

Так что кому свои глаза не жалко и времени трудитесь дальше в КОНСОЛИ.

anonymous
()

Консоль то консолью. А отчет - вещь нужная. И из консоли, IMHO, делать его затрахаешься. Можно, конечно, кучу скриптов держать. Это если все однообразно. А потом забудешь, где править скрипты. И чем больше таблиц в базе, тем гемора больше. Так, что тулза нужная.

sabonez ★☆☆☆
()

to anonymous (*) (2003-07-23 15:58:50.043871) Взрослый дядька :-)

anonymous
()

mycc = )) the best -) phpmyadmin ацтой и сосет у mycc

anonymous
()

phpMyAdmin - это кошмар для человека, ответственного за
безопасность. Так же как и phpBB. Руки рубить нужно таким
писателям с рождения.

anonymous
()
Ответ на: комментарий от anonymous

при правильной настройке от них только польза.
никто-же не заставляет анонсить в мир урл :-)

anonymous
()

to: anonymous (*) (2003-07-23 17:57:48.45367) Если ручки у тебя кривые от рождения, то эт действительно плохо! настрой безопасность своего сервера и все будет ОК!

anonymous
()
Ответ на: комментарий от anonymous

> настрой безопасность своего сервера

Хорошо, пример настройки безопасности сервера с работающим
phpMyAdmin в студию. Вот и посмотрим, у кого кривые руки.

anonymous
()
Ответ на: комментарий от anonymous

https +

AuthUserFile /www/.htpasswd AuthGroupFile /dev/null AuthName "phpMyAdmin" AuthType Basic

<Limit GET> require valid-user </Limit>

MysqlWebShell.php used instead of mysql shell

anonymous
()
Ответ на: комментарий от anonymous

еще можно добавить:
Order allow,deny
Allow from myhost

anonymous
()

to: anonymous (*) (2003-07-23 18:31:45.096606) Во! Люди уже тебе накидали примеров- можешь исправлять свой сервак и ставить phpadmin! =) Можно еще круче сделать- туннель к твоему серверу, шифровать весь трафик и авторизоваться с ключом, хоть ssl-тунель хоть zbd используй! Главное, сначала изучай вопрос, а потом коректно высказывайся! Не будь пионЭром =)

anonymous
()

to: всем советникам-анонимусам

https хорошая весчь, но она не является защитой от злобного локального юзера

AuthUserFile /www/.htpasswd - тоже неплохая весчь, но как она помешает злобному хостящемуся у меня юзеру проэксплойтить
кривую прогу под названием phpMyAdmin, если она так и просится
чтоб ее использовать в хакерских целях?

<Limit GET> require valid-user </Limit>
Угу. Там еще и POST есть, что гораздо страшнее. Однако смотри
предыдущий вопрос.

"Allow from myhost" не пройдет. Юзвери сидят у себя дома в
браузере. Не у всех есть шел.

Нет, такие советы в сад. Всем советчикам RTFM.

anonymous
()
Ответ на: комментарий от anonymous

> Нафига это говна надо, всё ж можно из командной строки сделать.

Из какой нафиг коммандной строки? Дать юзверю шелл? Хрен вам!

bormann
()
Ответ на: комментарий от anonymous

> Можно еще круче сделать- туннель

А что, в туннеле тяжелее хакать дырявую прогу? Если кто не понял: юзеров, нуждающихся в управлении БД много - сотни.
Доверия им нет.

anonymous
()

Я не понял, как хакать? я пароль в config.inc.php не храню :) а передаю через куки или basicauth, единственный способ узнать пароль это подслушивать... ну и БФ пароли переберать :)

anonymous
()
Ответ на: комментарий от anonymous

https хорошая весчь, но она не является защитой от злобного локального юзера

> AuthUserFile /www/.htpasswd - тоже неплохая весчь, но как она помешает > злобному хостящемуся у меня юзеру проэксплойтить
> кривую прогу под названием phpMyAdmin, если она так и просится
> чтоб ее использовать в хакерских целях?

Так значит к использованию самим admin/developer phpMyAdmin претензий нет?

Мне phpMyAdmin дает возможоссть быстро контролировать сотни таблиц на нескольких серверах.

Если же хочешь делать hosting - то дай mysql users нужные привелегии
сделай им локальную копию phpMyAdmin ( можно через ln сделать - править надо только username для подключения )
научи их создавать .htaccess - у пусть сами себе базы контролируют.

Результат - опасных дыр нет - все довольны.

PS: не надо забывать что MySqlAdmin - это прежде всего средство developer/admin а не enduser

anonymous
()

Народ, прежде чем постить дебильные советы, загляните хоть
одним глазом на список найденных проблем в безопасности этой
проги.

Примеры старых дыр:
http://www.example.com/phpMyAdmin/sql.php?goto=/etc/passwd&btnDrop=No
http://www.example.com/phpMyAdmin/tbl_replace.php?db=test&table=ess&g...

> PS: не надо забывать что MySqlAdmin - это прежде всего средство developer/admin а не enduser

Интересная трава. Я бы постеснялся называть такого админом или
девелопером. А вот для юзверей, имеющих доступ к своей БД
что-то подобное явно необходимо.

anonymous
()
Ответ на: комментарий от anonymous

> Народ, прежде чем постить дебильные советы, загляните хоть > одним глазом на список найденных проблем в безопасности этой > проги.

> Примеры старых дыр: so what?? There are no more this holes. moreover phpmyadmin is for authorized users only they can do it by <? echo join("<br>",file("/etc/passwd"); ?>

> Интересная трава. Я бы постеснялся называть такого админом или > девелопером. ???

Расскажи пожалуйста, каким образом за заменишь пару слов в TEXT field длиной этак 10k? И сколько времени это у тебя займет?

Рисовать ERD для создания простых таблиц не надо. А создать и изменить стуктуру в PMA быстрее, чем набрать create table

anonymous
()
Ответ на: комментарий от anonymous

> all known secirity bugs are fixed.

Горький опыт показывает, что прога, много раз имевшая
проблемы в безопасности _никогда_ в последствии безопасной
не становится. Bind, sendmail, wu-ftpd.

PhpShell - это слишком жирно, да и не удобно для
малограмотных юзверей на хостинге.

> they can do it by <? echo join("<br>",file("/etc/passwd"); ?>

Я же вроде разжевал уже проблему, и даже примеры показывал,
где любой unauthorized user может получить закрытую
информацию, правильно составив url.

> Расскажи пожалуйста, каким образом за заменишь пару слов в TEXT field длиной этак 10k?

Да хоть 100Мб.
mysql -e "select text_field from t1 where id=1" > /100mb.txt"
vi 100mb.txt
mysql -e "update t1 set text_field=\"`cat 100mb.txt`\" where id=1"

Только зачем это надо ручками делать? Неужели к базе нет
нормального родного интерфейса? Она что, сама по себе
живет? Короче, крутые программеры собрались. Я с них балдею.

anonymous
()

MySQL Front - форева :)

anonymous
()

>Я бы постеснялся называть такого админом или девелопером Не стесняйся, не стесняйся - глядишь тем или иным быть придется профессионально - сам "вьедешь" - а пока можешь просто поверить людям на слово :)

anonymous
()

> Она что, сама по себе живет? Типа того ж) Короче @крутой знаток@ забежал @на огонек@. Я с него балдею ;)

anonymous
()
Ответ на: комментарий от anonymous


> they can do it by <? echo join("<br>",file("/etc/passwd"); ?>

>Я же вроде разжевал уже проблему, и даже >примеры показывал,
>где любой unauthorized user может >получить закрытую информацию, правильно составив url.

те ты сможешь обратится к файлу не пройдя
"AuthType Basic" ???

Не бредь!
Никакой пользователь? кроме авторизированго не получит доступа.
А тот который имеет доступ и так посмотрит то что надо выполнив свой php script.

>Да хоть 100Мб.
>mysql -e "select text_field from t1 where id=1" > /100mb.txt"
>vi 100mb.txt
>mysql -e "update t1 set text_field=\"`cat 100mb.txt`\" where id=1"

1) не наглядно и не удобно, а если мне надо 20 полей отредактировать

2) echo NULL where 1=1 # > 100mb.txt
после твоей команды полный 3.14-ц всей базе

йоги могут чесать жопу ногой через плечо, но большинство людей предпочитают более традиционные методы.

Пока ты еще не было приведено ни одного нормального аргумента

>Только зачем это надо ручками делать?
>Неужели к базе нет нормального родного интерфейса?

для меня phpMyAdmin наиболее удобный и простой инструмент для работы с базой,
те кому надо могут с любого компьютера втч и с win зайти и исправить что надо

Ну и самое главное - работа через phpMyAdmin - это быстрее и безопаснее чем из command line (сложнее сделать ошибку)


PS: для oracle любимыми средствами для работы с базой остались
Golden (причем ранние версии )
http://www.oraclenotes.com/Vendors/benthic_golden.htm
Toad
Sql Navigator
для DB design: Designer 2000 / ErWin2000
для stand alone apps: Developer 2000

anonymous
()

Короче, всё фигня. Для юзверей хостинга это однозначный мастхэв. Для админа лучше tora ничего нету (ну разве что ssh qwe@qwe.qwe mysql -uqwe -ppass)

А все дыры - это фигня. Они затыкаются элементарно.

rk
()
Ответ на: комментарий от anonymous

а никто еще не отменял security-настройки safe_mode, open_base_dir и др. в php и в mySQL.
если Вы не можете настроить это нормально или Ваш параноидальный уровень религии Вам не позволяет сделать, так так тому и быть; Вас никто не переубедит.

anonymous
()

Народ ебать ))))) Вы че парите то как дети малые ? нахера в мир то выносить тачку c sql ? вам кто такой бред ваще сказал ? У меня есть соплярка, на ней крутятся radius mysql и apache ... всё ) всё в сети 192.168/ управляю билинговой базой через phpMyAdmin который на этой же машине ...имею туда достут только я с личного IP... + всякие там ssl ( кстати тормозит он зараза особенно когда по модему) и что Ваши дыры ? сосут ...

anonymous
()
Ответ на: комментарий от anonymous

> Никакой пользователь? кроме авторизированго не получит доступа.

Про Cross Site Scripting слышал? Про дыры в IE, позволяющие
вытаскивать последний url и cookie к нему?
Да даже в случае законного юзера, данная прога предоставляла
ему мягко говоря недокументированные возможности.

anonymous
()
Ответ на: комментарий от anonymous

> не наглядно и не удобно, а если мне надо 20 полей отредактировать

Не наглядно для кого? Для сопливого виндовс-юзера или для
программиста? Ты определись сначала. Впрочем, это уже и так ясно.

anonymous
()

to: anonymous (*) (2003-07-24 12:24:02.789425) Ну и какие это возможности? Перечисли! Сказать можно любую лажу.

anonymous
()

to: anonymous (*) (2003-07-24 12:26:06.146083)
>Не наглядно для кого? Для сопливого виндовс-юзера или для
>программиста? Ты определись сначала. Впрочем, это уже и так ясно.
Ты браузером пользуешься, а?
или из командной строки свои постинги сюда лабаешь?
Если польщзуеешься, то ты ничем не лучше "сопливых виндовс-юзеров".
когда до тебя дойдет, что крутость определяется не уменеем в mysql команды давать? А если программист, то наверное для своих программуль редактором пользуешься, да? А че не cat > proga.c << "EOF" и погнал себе!
Вот подумай над своим бредом немного!

anonymous
()

так есть что-то типа subj или sql navigator, но для oracle. Под линух только.

vtl
()

Нашел правда WWWdb.

WWWdb is a developing-tool for web-applications, that are based on a SQL database. At the moment, four databases PostgreSQL , Oracle, InterBase, MySQL and ODBC are supported.

Может что еще посоветуете?

vtl
()

опс, тока это кажется не то. сори

vtl
()

сам также обхожусь сабжем плюс родной mysql консольный клиент,
в общем хватает, но что еще ALL может посоветовать для доступа/управления базой, по идее прог должно быть немеряно, только какие из них лучшие на данный момент?

NiKel
()

ААА!!!! ААААА!!!!!!!!!!!
killall -9 httpd - а то кросс-сайт скриптингом всё нахер похачат!

ЗЫ:
Я вот не пойму, у меня юзер даже посмотреть, что у другого юзера в каталоге своими скриптами не может...
Как там похачить-то смогут?

Shadow ★★★★★
()

Угнать Windows за 13 секунд

>Я вот не пойму, у меня юзер даже посмотреть, что у другого юзера в каталоге своими скриптами не может... Как там похачить-то смогут?

Ну это смотря что за скрипты, под чьим id исполняются и т. д. и т.п.

Sun-ch
()

Ну, под id юзера, а если под id апача - то им разрешено только в document_root

Shadow ★★★★★
()

FOAF - Firewall On A Floppy

Ну, под id юзера

На чем скрипы? Если есть возможность выполнить exec /bin/sh -i

тады у него будет shell c его id.

Sun-ch
()
Ответ на: комментарий от anonymous

PHP

> Там еще и POST есть
ага, и PUT. на него кстати дыра была в PHP в своё время.;)
и ещё один прикол - он так и не опправлен до сих пор btw, Дердорф сказал что это "проблема конфигурации а не PHP":
если сделать так:
<Limit GET POST>
require valid-user
deny from all
allow from ....
</Limit>
так вот, если у Вас есть какой-то URL типа www.mycoolsite/coolurl/
и вы знаете точное URL документа- (например, www.mycoolsite/coolurl/handler.php) - то зайдя простоым телнетом можно было было доступ к странице, защищённый этим Вашим .htpasswd без всяких паролей.
ядавно не пробовал, но под 4.0.6 точно работало и этот кусок кода врподе не меняли с тех пор.

mumpster ★★★★★
()
Ответ на: PHP от mumpster

> и ещё один прикол - он так и не опправлен до сих пор btw, Дердорф сказал что это "проблема конфигурации а не PHP": если сделать так: <Limit GET POST> require valid-user deny from all allow from .... </Limit> так вот, если у Вас есть какой-то URL типа www.mycoolsite/coolurl/ и вы знаете точное URL документа- (например, www.mycoolsite/coolurl/handler.php) - то зайдя простоым телнетом можно было было доступ к странице, защищённый этим Вашим .htpasswd без всяких паролей. ядавно не пробовал, но под 4.0.6 точно работало и этот кусок кода врподе не меняли с тех пор.

--- так это проблема apache, а не PHP ( а работать на старых версиях apache опасно ) можно запретить все не указывая методы:

в .htaccess AuthUserFile /www/.htpasswd AuthGroupFile /dev/null AuthName "AUTH_REQ" AuthType Basic require valid-user

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.