Hallo zusammen,
nun nachdem mein DB-Projekt schon etwas vorangeschritten ist, erfahre ich von meinem Prof, daß er Perl:DBI für unsicher hält und die Prozeduren zum füllen der Datenbank mit selbst definierten stored procedures realisiert sehen will. Nun dem Menschen Willen ist sein Himmelreich und dem von Chefs und Profs sowieso. Also mache ich das, nur wie. Wenn ich auf meinem DB-Server eine Prozedur definiert habe, wie kann ich diese von meinem Skript aus aufrufen.

Und was ist von der Argumentation zu halten, daß Skripte oder Prozesse, die von Web-Usern angestoßen bzw. aufgerufen werden (also Perl/CGI-Skripte), daß diese Skripte eben keine Schreibrechte auf Datenbanken haben dürften?

Gruss Christian

[quote=pug,20.01.2006, 14:37]nun nachdem mein DB-Projekt schon etwas vorangeschritten ist, erfahre ich von meinem Prof, daß er Perl:DBI für unsicher hält[/quote]
hmm, was ist das für ein prof?
DBI ist nicht per se unsicher. wenn du mit platzhaltern arbeitest, bist
du auf der sicheren seite.

Quote

Wenn ich auf meinem DB-Server eine Prozedur definiert habe, wie kann ich diese von meinem Skript aus aufrufen.

auch über DBI.

Quote

Und was ist von der Argumentation zu halten, daß Skripte oder Prozesse, die von Web-Usern angestoßen bzw. aufgerufen werden (also Perl/CGI-Skripte), daß diese Skripte eben keine Schreibrechte auf Datenbanken haben dürften

finde ich als generelle aussage sinnfrei. solange du im skript entscheidest,
welche statements du an die datenbank schickst, hast du kein problem.

wenn ein script keine schreibrechte hat, kann es auch keine daten speichern. so liessen sich foren wie dieses hier aber nicht entwickeln. damit ein forum funktoiniert, muss des user in der lage sein, daten zu speichern, und dafür braucht man? na? genau! schreibrechte :)

so einfach kann das sein...

Der Prof ist sonst eigentlich ganz iO, aber kein Anhänger von Skript-Sprachen glaube ich. Nachricht an Strat: das ist ein anderer Prof als der, den Du ansprayen wolltest ;-)

Wie sieht die Syntax eines solchen Funktionsaufrufs aus? Sagen wir die Funktion heist "untersuche_name".

Gruss Christian

Hm, also zu Stored Procedures steht in der DBI-Doku (ja ich weiss, kein DBI benutzen, aber wie bitte willst sonst mit der DB kommunizieren? ;)):

Quote

"func"
            $h->func(@func_arguments, $func_name);

          The "func" method can be used to call private non-
          standard and non-portable methods implemented by the
          driver. Note that the function name is given as the
          last argument.

          This method is not directly related to calling stored
          procedures.  Calling stored procedures is currently
          not defined by the DBI.  Some drivers, such as
          DBD::Oracle, support it in non-portable ways.  See
          driver documentation for more details.

Das heisst also, du musst erstmal deinen DB-Treiber checken, ob der sowas unterstuetzt. Allerdings verstehe ich auch nicht, was an stored procedures nun sicherer sein soll. Die Werte musst du ja nach wie vor uebergeben, nur werdens dann halt in der procedure verarbeitet.
Ausserdem, was waere besser, wenn du die DB z.B. von einem in C geschriebenen Programm befuellen muesstest? Die Sicherheitsprobleme bleiben die gleichen...\n\n

<!--EDIT|nepos|1137785071-->

Ohh, frag mich ned. Ich kann dieser Argumentation auch nicht ganz folgen. Ich glaube er favorisiert halt Java-Servlets .... oder so.

Aber vielen Dank auch. Da werde ich mich morgen ans Werk machen.

Gruss Christian

[quote=nepos,20.01.2006, 20:23]Ausserdem, was waere besser, wenn du die DB z.B. von einem in C geschriebenen Programm befuellen muesstest? Die Sicherheitsprobleme bleiben die gleichen...[/quote]
Ganz im Gegenteil: eher sind Perl-Skripte (Stichwort: Taint-Modus) sicherer als C-Programme (Stichwort: Buffer overflows).

Das würde mich im Detail doch mal interessieren, wie die Abläufe bei einer JDBC-Abfrage mit Java, einer ODBC-Abfrage mit C und einer DBI oder ODBC-Abfrage mit Perl ist, wo die Stärken und Schwächen der verschiedenen Methoden und die Sicherheitsrisiken liegen. Gibt es da irgendwo im Netz eine "neutrale" Beurteilung von solchen Methoden?

Und warum die Insert-Methode mit

Quote

qq{INSERT INTO kunden ( kid,...

sicherer ist als die Parameter direkt einzutragen.

Zu meinem Studien-Projekt muss ich noch sagen, daß der Fokus auf Datenbanken liegt, es von der Warte aus schon Sinn macht, wenn ich so viel wie möglich DB-Server intern mache.

Gruss Christian

Was meinst du mit "direkt eintragen"?

Sowas vermutlich: