Ciao a tutti!
Stò sviluppando un sito con sistema di login e registrazone, basato su un database mysql.
I dati per la connessione (e la connessione stessa) al database, sono contenuti nel file config.php, mi sono reso conto che molti siti utilizzano un metodo simile, mi è venuto un tremendo dubbio: se qualcuno conoscesse minimamente la strauttura del database, non potrebbe, mediante un include remoto di config.php,compiere qualsiasi operazione su di esso?
Per esempio, mettiamo che io abbia una tabella UTENTI del genere:
Chiunque potrebbe, dal suo spazio web richiamare uno script del genere:codice:ID UTENTE PASSWORD 1 pinco miapass 2 tizio suapass
Dunque chiunque può fare qualsiasi operazione sul mio database.Codice PHP:include("http://miosito.com/config.php");//si connette al MIO database
$query=mysql_query("DROP table utenti");//svuota la tabella
Anche attivando la connessione al database direttamente in ogni pagina, basterebbe includerla per ottenere ugualmente la connessione.
Come posso evitare ciò?
Grazie in anticipo!
Rispondi quotando
