1. Willkommen im Forum für alle Datenbanken! Registriere Dich kostenlos und diskutiere über DBs wie Mysql, MariaDB, Oracle, Sql-Server, Postgres, Access uvm
    Information ausblenden

Create Role

Dieses Thema im Forum "PostgreSQL" wurde erstellt von Kampfgummibaerlie, 24 Oktober 2017.

  1. Kampfgummibaerlie

    Kampfgummibaerlie Datenbank-Guru

    Nachdem, um ehrlich zu sein, ich wiedermal (in einem anderen Forum), wo ich Hilfe wollte, und mir dann aber 0815 tausend andere Lösungsmöglichkeiten anhören durfte, und sogar, dass ich von Postgres wieder absteigen sollte, weil das ja "viel zuviele" eingebaute Functions hat, die man eh nie braucht.

    Also, ein Grund war:
    SQL-Injection

    Anfangs dachte ich mir, wie das möglich sein soll, wenn ich quasi alles, was ich durchführen möchte, über Functions regle einerseits, andererseits keine eingebbare Querys ausführe.

    Dann dachte ich mir, wie soll der Hacker dazu kommen, dass er (weil ich in meinen Foren umfangreich die Post-Methode (Damit im Link nicht angezeigt wird, welche Werte übertragen wurden)) x beliebige Werte durch meine Homepage senden kann?

    Wollen mir die mehr Angst machen, als ich tatsächlich haben sollte? Mir ist klar, dass man mit sowas nicht anfangen sollte zu scherzen, aber ich bin jetzt sogar am überlegen, eine Role zu erstellen, welche wiederum nur auf ausgesuchte Functions zugreifen kann.

    Nachdem ich in die Homepage programmiert habe, dass sich ein jeder Besucher als "Postgres" einloggen soll, dachte ich mir, dass ich einfach eine neue Role erstelle, die eben NICHT auf die entsprechenden nicht nötigen Functions zugreifen kann.

    Hier mein Ansatz zum erstellen einer neuen Role, die jedoch leider eine Fehlermeldung gibt, die ich auch noch schicken werde:
    Code:
    create role webuser with nosuperuser nocreatedb nocreaterole nocreateuser 
    noinherit nologin password 'Passwort'
    
    Hier die Fehlermeldung:
    19.png

    Weil, um ehrlich zu sein, ich möchte bei PostgreSQL bleiben, ich möchte nicht gehackt werden, und was weiß ich, was ich noch so alles nicht möchte, oder eben doch möchte ;D

    Anbei eine Frage:
    Kann man irgendwie einer Role verbieten, eine eigene Query auszuführen?

    Fühle mich bei euch Pudelwohl :) *schnurr* ^^ - ich weiß, ein Pudel schnurrt nicht, weil er nunmal ein Hund ist... :/
     
  2. akretschmer

    akretschmer Datenbank-Guru

    Laß das nocreateuser weg, das ist überflüssig.
     
Die Seite wird geladen...

Diese Seite empfehlen

  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden