Discussione su cartella DB

[zetaweb]

Ciao ragazzi,
volevo chiedere il vostro parere su di un concetto relativo alla sicurezza dei db all'interno del sito web.

Avere la cartella dove ospitare i db(nel caso specifico access) in una cartella esterna alla root del sito, garantisce o no la sicurezza da attacchi hacker per quanto possibile?

Questa cartella per poter essere letta dalla stringa di connessione al db deve ovviamente avere permessi di lettura e scrittura.

Secondo voi questa soluzione è buona?
Se no, perchè?
E quale sarebbe la scelta giusta?

Grazie a tutti.

[Habanero]

Separare gli ambienti è sempre una scelta buona.. in alcune configurazioni il DB sta addirittura su un'altra macchina non accessibile dalla rete esterna.

Ovviamente tutto ciò, da solo, non basta. Se le pagine web che accedono al DB sono vulnerabili (SQL injection, per esempio) un attaccante può ancora una volta penetrare nel DB, anche se questo sta fuori dalla root del webserver o su un'altra macchina.

Altro buon consiglio è far si che le pagine accedano al DB usando una utenza avente il minimo dei permessi necessari. Se le pagine devono solo fare delle SELECT ma non delle CREATE, INSERT, UPDATE, DELETE etc è inutile assegnare all'utente diritti di scrittura. Spesso si vedono accessi al DB come root...
Così facendo se un attaccante riesce ad inviare comandi SQL arbitrari tramite una vulnerabilità nelle pagine potrà unicamente accedere ai dati in lettura. Non potra operare delle modifiche su di essi.

[zetaweb]

Ciao Habanero,
grazie per la risposta.

Le pagine web dei siti sono progettate per evitare l'sql iniection,con il classico replace per quanto riguarda gli apici, per quanto riguarda però i permessi è necessario dover assegnare i diritti di scrittura per poter effettuare UPDATE e INSERT.

Grazie ancora