Und was ist mit den Diensten? Wenn man die kapern kann, könnte da der Angriffsvektor liegen, oder? Ich habe da immer besondere Angst vor einer Lücke in einem php/mysql-Skript, also Zugriff über PHP auf den MySQL-Server ohne passendes Escaping.

Da hilft es, die Privilegien a) zu kennen und b) sparsam zu vergeben.

https://dev.mysql.com/doc/refman/8.0/en/grant.html#grant-privileges

Es kommen jetzt neben den unbekannten Stellen noch die Scripserver in Frage:

• php
• python
• nodeJS
• perl

Ja. Natürlich muss man aufpassen, dass man sich da kein Eier legt. Aber diese Angst ist mit dem Speichern außerhalb des Document-Roots und/oder ggf. der Dekonfiguaration der Skriptausführung (also Module,CGI) für Verzeichnisse fast erschlagen - es sei denn man kuckt zu viel Youtube und macht de Scheiß nach.

Die andere Variante, nämlich zu viel Angst zu haben, ist auch nicht so supergesund… Ich bekomme ordentliches Geld dafür, bei klarem Kopf zu bleiben.