|
||||
Sicherheitsbedenken bei eigenem CMS
Hi,
wenn ich ein Textdateien-CMS erstellen möchte, wobei die Textdateien in einem mit .htaccess-geschützen Ordner liegen soll und der Adminbereich in einem anderen ebenso geschützen Ordner, bestünde dann noch ein Sicherheitsrisko und wenn welches? Ich meine, man könnte ja ohne der Kenntnis der Variablen nix über die URL aufrufen und so die Variablen füllen. Und ohne Datenbank, könnte man die ja auch nicht "knacken". Oder gibt es da auch elementare Sicherheitslücken, die man unbedingt abdecken sollte?
__________________
Der höchste Lohn für unsere Bemühungen ist nicht das, was wir dafür bekommen, sondern das, was wir dadurch werden. Mein aktuelles Projekt bei idealseiten.de |
Sponsored Links |
Sponsored Links |
|
||||
Eine filelock ist ein filelock ist ein filelock ...
Ist die Datei blockiert ist sie es definitiv auch. Bei Datenbanksystemen wird meist nur ein Bereich der Datei gelockt (zB Record-Locking). Zumindest für die Laufzeit des Scripts. Gleichtzeitige Zugriffe sind nicht das Problem, eher gleichzeitige Schreibzugriffe. Es ist auch niemand gezwungen, für die Mini-Datenmengen eines Gästebuchs eine Datenbank zu verwenden. Die GB-Spammer schießen sich auf SQL ein, nimm halt etwas anderes. |
|
||||
Hi,
super! Vielen Dank für den Tipp! Na mal sehen, ob ich das so alles realisiert bekomme.
__________________
Der höchste Lohn für unsere Bemühungen ist nicht das, was wir dafür bekommen, sondern das, was wir dadurch werden. Mein aktuelles Projekt bei idealseiten.de |
|
||||
Zitat:
Mit gleichzeitigen Zugriffen meinte ich schreibende zugriffe und schreibende/lesende Zugriffe in Kombination. Hier muss mit Shared-Lock und Exklusivlock gearbeitet werden, um keine fehlerhaften Daten während eines Schreibprozesses auszulesen. Bei einem Gästebuch sicherlich nicht so das Riesenproblem, vor allem wenn es nicht starkem Traffic ausgesetzt ist, aber durchaus eine Sache, die man wenigstens bedenken sollte. Geändert von Manko10 (09.06.2009 um 23:35 Uhr) |
|
||||
Eine Datenbank quasi selbst zu bauen, halte ich auf für reichlich sinnlos. Das einzige Sicherheitsproblem bei der Verwendung einer Datenbank sind eigentlich SQL-Injections und davor kann man sich leicht schützen - entweder durch sowas wie mysql_real_escape_string oder am besten gleich prepared statements.
|
|
||||
Zitat:
geht führt nicht immer ein Weg dran vorbei (alles abräumen was nicht unbedingt notwendig ist). Die Unterscheide sind dramatisch. Ich hab's ja jetztmal mit SQL probiert, ich merke einen deutlichen Unterschied. Ich gewinne natürlich erheblich Flexibilität (im Moment SQlite3). Zitat:
auch davon ab, ob und wann überhaupt Änderungen an der DB vorgenommen werden. Kann man größere Aktionen nachts laufen lassen und währenddessen die DB einfach sperren ist das am Einfachsten. Bei Gästebüchern wird ja eher nicht geändert, es werden mE fast nur Einträge angefügt, was sollte da kollidieren ? Es kann niemand einen Eintrag abrufen der noch nicht vollständig in der DB ist. lock() und flock() sind die Funktionen des OS, Die DB-Systeme verwenden das auch, was sonst. Jetzt mal beides zusammengebracht: Meine DB ist deshalb so schnell in der Abfrage weill ich alles was mit Locking zu tun hat, rausgelassen habe. Wenn ich ändere, wird die Datei (bzw die Dateien) exklusiv geöffnet und damit für andere blockiert. Da das in C recht flott geht gab es da auch noch nie Probleme. Es sind aber anwenderseitig auch so gut wie keine Änderungen notwendig, es ist ja ein Archiv. Es hat beides Vor- und Nachteile. Momentan fahre ich beide Systeme parallel (in der Firma aus jeweils eigenen Servern). Benchmarks habe ich mal vor einiger Zeit mit Btrieve gefahren, ich müßte das auch mal mit SQLite machen. Grüße Joe. |
|
||||
Hi,
meine Überlegungen bezüglich eines eigenen CMS waren ja garnicht so hoch gehängt. Ich möchte ja keine großen Datenmengen bewegen und eigentlich auch keine web2.0-Sachen drin haben. Ich wollte lediglich die Möglichkeit haben einen Artikel den man in Word geschrieben hat, vielleicht über ein text-area per copy-n-paste einzufügen und dann den Ort wählen, an welcher Stelle dieser Text veröffentlicht werden soll. Also nur die Textformatierung mit einem barrierefreien validen markup und die Verknüpfung mit der Navigation und eventuellem Eintrag in ein Inhaltsverzeichnis. Also nix Wildes. Daher meine Überlegungen das Ganze auch "nur" über txt-Dateien zu machen. Das Ganze wäre dann so etwas wie eine erweiterbare statische Seite. Aber vielen Dank nochmals für Eure Ideen und Erfahrungsbereichte.
__________________
Der höchste Lohn für unsere Bemühungen ist nicht das, was wir dafür bekommen, sondern das, was wir dadurch werden. Mein aktuelles Projekt bei idealseiten.de |
|
||||
Schau dir das mal an:
moziloCMS - Das CMS für Einsteiger :: moziloCMS :: Startseite Ist nicht groß, aber ein "flat"-File CMS mit reinen Textdateien, Admin-Interface und sehr flink. Eventuell auch nur zum "abguggen"
__________________
Personal stuff |
Sponsored Links |
|
|
Ähnliche Themen | ||||
Thema | Autor | Forum | Antworten | Letzter Beitrag |
Suche ein CMS für private Seite | rAiDeN | Offtopic | 26 | 22.12.2008 16:29 |
CMS Verzeichnisschutz | cssler | Serveradministration und serverseitige Scripte | 2 | 02.04.2007 01:00 |
[S] CMS für Online-Shop | kopfaquarium | Serveradministration und serverseitige Scripte | 2 | 02.02.2007 17:32 |
CMS - interaktive Box Modell Themes | Sentinel | CSS | 8 | 08.12.2005 23:08 |
"Umfrage": CMS | E|H | Offtopic | 65 | 01.06.2005 22:50 |