[SQL] LOGIN_STR Fix

Den SA user die rechte nehmen ??

Quote:

Originally Posted by Metamoor Den SA user die rechte nehmen ??

Oder man legt verschiedene Nutzer an, mit verminderten Rechten.. Nicht das Jeder User direkt alles darf.. is eig auch sinnvoller..

Ihr gebt doch auch keinem User auf eurem Server kompl. Admin-Rechte oder? ˆˆ

Quote:

Originally Posted by .Tear @Twilight, Reine Vermutung aber das man die Befehle ausführen kann entsteht doch eig nur dadurch, das die Datenbank sozusagen 'root'-Zugriff haben oder? ˆˆ

Die Datenbank hat keine Zugriffe, man hat lediglich Zugriffe auf die Datenbank.
Das Problem ist, dass viele Leute einfach sa oder den WinNT-Admin als SQL-User benutzen. Das mag an sich ja nicht weiter problematisch sein, doch werden alle Befehle und Queries, die ausgeführt werden eben über diesen Admin-Login getätigt. Diese User haben unter anderem auch Zugriff auf die sogenannten System-Prozeduren (Extended Procedures) - Dazu gehören zum Beispiel xp_cmdshell, welches glücklicherweise per default nicht aktiv ist, aber eben auch die shutdown Geschichte.

Quote:

Originally Posted by Metamoor Den SA user die rechte nehmen ??

Man kann sa keine Rechte entziehen.

Quote:

Originally Posted by .Tear Oder man legt verschiedene Nutzer an, mit verminderten Rechten.. Nicht das Jeder User direkt alles darf.. is eig auch sinnvoller.. Ihr gebt doch auch keinem User auf eurem Server kompl. Admin-Rechte oder? ˆˆ

Eben das habe ich damit gemeint.
Wenn ich einen SQL Server einrichte, achte ich penibel genau auf die Rechteverteilung, Passwortvergabe, etc... fragt Sago, Velmore und co. :D

Ist an sich nicht wirklich kompliziert, aber da erkundigt euch einmal selbst. ;p
- Wichtig ist, dass ihr in etwa wisst, welcher User wo Rechte benötigt und wenn ja, dann welche (db_datawriter, db_datareader wären da nennenswert).

Quote:

Originally Posted by xTwiLightx Die Datenbank hat keine Zugriffe, man hat lediglich Zugriffe auf die Datenbank. Das Problem ist, dass viele Leute einfach sa oder den WinNT-Admin als SQL-User benutzen. Das mag an sich ja nicht weiter problematisch sein, doch werden alle Befehle und Queries, die ausgeführt werden eben über diesen Admin-Login getätigt. Diese User haben unter anderem auch Zugriff auf die sogenannten System-Prozeduren (Extended Procedures) - Dazu gehören zum Beispiel xp_cmdshell, welches glücklicherweise per default nicht aktiv ist, aber eben auch die shutdown Geschichte. Man kann sa keine Rechte entziehen. Eben das habe ich damit gemeint. Wenn ich einen SQL Server einrichte, achte ich penibel genau auf die Rechteverteilung, Passwortvergabe, etc... fragt Sago, Velmore und co. :D Ist an sich nicht wirklich kompliziert, aber da erkundigt euch einmal selbst. ;p - Wichtig ist, dass ihr in etwa wisst, welcher User wo Rechte benötigt und wenn ja, dann welche (db_datawriter, db_datareader wären da nennenswert).

Joar und wenn man dann noch dazu auch die injection im source fixt, kann da nicht viel passieren.

An der Injection is ja nicht nur das shutdown oder die xp_cmdshell gefährlich.
Auf Tuneup hatten welche langeweile und haben immer die Char db geleert.