Create Role

Kampfgummibaerlie

Datenbank-Guru
Beiträge
728
Nachdem, um ehrlich zu sein, ich wiedermal (in einem anderen Forum), wo ich Hilfe wollte, und mir dann aber 0815 tausend andere Lösungsmöglichkeiten anhören durfte, und sogar, dass ich von Postgres wieder absteigen sollte, weil das ja "viel zuviele" eingebaute Functions hat, die man eh nie braucht.

Also, ein Grund war:
SQL-Injection

Anfangs dachte ich mir, wie das möglich sein soll, wenn ich quasi alles, was ich durchführen möchte, über Functions regle einerseits, andererseits keine eingebbare Querys ausführe.

Dann dachte ich mir, wie soll der Hacker dazu kommen, dass er (weil ich in meinen Foren umfangreich die Post-Methode (Damit im Link nicht angezeigt wird, welche Werte übertragen wurden)) x beliebige Werte durch meine Homepage senden kann?

Wollen mir die mehr Angst machen, als ich tatsächlich haben sollte? Mir ist klar, dass man mit sowas nicht anfangen sollte zu scherzen, aber ich bin jetzt sogar am überlegen, eine Role zu erstellen, welche wiederum nur auf ausgesuchte Functions zugreifen kann.

Nachdem ich in die Homepage programmiert habe, dass sich ein jeder Besucher als "Postgres" einloggen soll, dachte ich mir, dass ich einfach eine neue Role erstelle, die eben NICHT auf die entsprechenden nicht nötigen Functions zugreifen kann.

Hier mein Ansatz zum erstellen einer neuen Role, die jedoch leider eine Fehlermeldung gibt, die ich auch noch schicken werde:
Code:
create role webuser with nosuperuser nocreatedb nocreaterole nocreateuser 
noinherit nologin password 'Passwort'

Hier die Fehlermeldung:
19.png

Weil, um ehrlich zu sein, ich möchte bei PostgreSQL bleiben, ich möchte nicht gehackt werden, und was weiß ich, was ich noch so alles nicht möchte, oder eben doch möchte ;D

Anbei eine Frage:
Kann man irgendwie einer Role verbieten, eine eigene Query auszuführen?

Fühle mich bei euch Pudelwohl :) *schnurr* ^^ - ich weiß, ein Pudel schnurrt nicht, weil er nunmal ein Hund ist... :/
 
Werbung:
Zurück
Oben