Es ist doch absolut herrlich dieses Programm.
Auf einfache und doch vollständige Art und Weise über einen Browser die MySQL-Datenbank zu administrieren. Besonders, wenn man einen externen Provider benutzt und nur FTP Zugang zum Webspace hat.
Doch da ist ein Problem. Immer wieder gibt es Exploits die einen Zugriff auf den Server durch phpMyAdmin erlauben. Diese Erfahrung musste auch ich machen und musste daher sofort reagieren.
Das Problem liegt unter anderem darin, dass mit phpMyAdmin eine eigene Authentifizierung mitgeliefert wird. Diese ist aber lediglich für die Anmeldung an die Datenbank gut.
Man sollte trotzdem IMMER das Verzeichnis von phpMyAdmin serverseitig mit einem Passwort schützen, d.h. entweder mit dem Provider die .htaccess Datei setzen, oder selbst eine .htaccess Datei erzeugen.
Die Datei müsste wiefolgt aussehen:
AuthType Basic
AuthName “Access for /phpmyadmin”
AuthUserFile /homepage/xyz/123456/htpasswd
require user user1
Die Passwortdatei muss generiert werden, entweder ebenfalls vom Provider oder per Hand und das ist nicht immer einfach. Hilfe bietet das das Programm htpasswd.exe (Keine Sorge habe die Exe selbst gescannt und sie scheint ok zu sein)
Hiermit kann man sich per Windows-Konsole einfach die Datei generieren lassen.
htpasswd -c .htpasswd user1
Der Inhalt der Datei müsste dann ungefähr so aussehen:
user1:Rxf2PAkBN2rbPE
Nun haben wir das Verzeichnis gesichert und es kommt nur der Benutzer mit dem entsprechenden Passwort hinein, egal welche Datei unterhalb des Verzeichnisses aufgerufen wird und ungeachtet dessen was phpMyAdmin für eigene Anmeldeformalitäten besitzt.
Einen Kommentar schreiben