Linuchs: Angriff auf Datenbank - neuen User anlegen

Beitrag lesen

Moin,

heute hatte ich einen massiven Ansturm auf meine Datenbank. Gemerkt, weil ich plötzlich 1200 vom Programm ausgelöste Mails bekam, dass diese Abfrage länger läuft als 3 sec.

Eigentlich hätte die Kontrolle greifen müssen, dass eine REQUEST_URI max. 110 Zeichen lang sein darf. Sie ist länger und enthält SQL-Code. Muss noch klären, wieso das umschifft wurde.

Es wurde eine counter-Tabelle (Zugriffszähler) manipuliert. Uralt-Routine, in der addslashes() fehlte. Habe ich sofort nachgetragen und den Query-String auf delete, insert, select und update geprüft.

Der Query-String enthielt sowas: FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x746d5f75736572 AND table_schema=0x746d33 LIMIT 2,1) Eine Tabelle namens 0x746d5f75736572 habe ich gar nicht. Was bedeutet das?

Nun möchte ich einen neuen Datenbank-User anlegen, der nur Leserechte hat.

Wie geht das? Die mySQL-Doku ist dermaßen unübersichtlich und das Stichwort read only kommt nicht vor.

Wenn nun jemand zu Recht eine Seite angezeigt bekommt und ich möchte den Zähler hochsetzen, muss ich wohl den SQL-User wechseln. Muss ich die Datenbank schließen und neu öffnen?

fragt Linuchs