Форум A4on.TV и ПО "Атирра"

Программный продукт "Атирра" => Платежные системы => Тема начата: platonische от Ноября 01, 2016, 13:01:43

Название: Безопасность хранения паролей
Отправлено: platonische от Ноября 01, 2016, 13:01:43
Хочу поднять вопрос о том, как правильно раздать права пользователю базы, под логином которого будет осуществляться операция взаимодействия скрипта сайта и базы данных.

Необходимо минимизировать права, т.к. логин и пароли хранятся в открытом виде на сайте (файл или база).

По большому счету необходимы два запроса к базе.
Название: Re: Безопасность хранения паролей
Отправлено: Шумко Дмитрий от Ноября 01, 2016, 13:49:15
В ПО нет возможности тонкой настройки прав.
Вы можете воспользоваться сторонними средствами, например IBexpert
или через isql

GRANT SELECT, REFERENCES ON CUSTOMER TO PAYUSER;
GRANT SELECT, REFERENCES ON HOUSE TO PAYUSER;
GRANT SELECT, REFERENCES ON STREET TO PAYUSER;
GRANT EXECUTE ON PROCEDURE ADD_PAYMENT_FROM_EXT_SYSTEMS TO PAYUSER;
Название: Re: Безопасность хранения паролей
Отправлено: platonische от Ноября 07, 2016, 19:02:03
С такими правами чтение производит а запись через процедуру не происходит
Похоже надо еще открывать на запись в таблицы PAYMENT и PAY_DOC
Название: Re: Безопасность хранения паролей
Отправлено: platonische от Ноября 07, 2016, 19:08:15
Интересно... но и права на таблицы PAYMENT и PAY_DOC не дали результата
Название: Re: Безопасность хранения паролей
Отправлено: Шумко Дмитрий от Ноября 07, 2016, 22:34:07
Проверьте с этими правами
GRANT SELECT, REFERENCES ON CUSTOMER TO PAYUSER;
GRANT SELECT, REFERENCES ON HOUSE TO PAYUSER;
GRANT SELECT, REFERENCES ON STREET TO PAYUSER;
GRANT SELECT ON PAYMENT_DELETED TO PAYUSER; -- этой таблицы может не быть
GRANT SELECT, INSERT ON PAYMENT TO PAYUSER;
GRANT SELECT, INSERT ON PAY_DOC TO PAYUSER;
GRANT EXECUTE ON PROCEDURE ADD_PAYMENT_FROM_EXT_SYSTEMS TO PAYUSER;
GRANT EXECUTE ON PROCEDURE PAYMENT_ADD_FROM_EXT_SYSTEMS TO PAYUSER;
GRANT EXECUTE ON PROCEDURE PAYMENT_EXT_STATE TO PAYUSER;
Название: Re: Безопасность хранения паролей
Отправлено: platonische от Ноября 07, 2016, 22:35:32
Читаю информацию, пишут что надо дать права процедуре на все что выполняет процедура
Дал права SELECT, INSERT на таблице PAYMENT и PAY_DOC не помогает.
Скажи что еще делает процедура?

Я смотрел тело процедуры вопросы вызвала только строка:
...
PAY_DOC_ID = GEN_ID(gen_operations_uid,1);
...

Ваше предложение сейчас проверю

Вот это к чему относится? остальное как я смотрю работает с таблицами CUSTOMER, PAYMENT, PAY_DOC
Название: Re: Безопасность хранения паролей
Отправлено: platonische от Ноября 07, 2016, 22:41:28
Нет ваши права не помогли
Название: Re: Безопасность хранения паролей
Отправлено: Шумко Дмитрий от Ноября 08, 2016, 01:40:15
GEN_ID это получение уникального ключа.

смотрите на что ругается скрипт, он должен выдать на какие объекты не хватает прав.
Название: Re: Безопасность хранения паролей
Отправлено: platonische от Ноября 08, 2016, 09:29:32
А не подскажешь в php interbase есть возможность вывода подобной информации?
Название: Re: Безопасность хранения паролей
Отправлено: Шумко Дмитрий от Ноября 08, 2016, 13:52:18
да. удали перед вызовом функций @ . @  - подавляет вывод ошибок
Название: Re: Безопасность хранения паролей
Отправлено: platonische от Ноября 09, 2016, 12:28:37
Функции без @. Но я так и не понял как получить инфу об ошибке.
Название: Re: Безопасность хранения паролей
Отправлено: Шумко Дмитрий от Ноября 09, 2016, 14:04:55
Вывод ошибок в PHP включен?
Название: Re: Безопасность хранения паролей
Отправлено: platonische от Ноября 11, 2016, 15:05:25
Нет... Включу и отпишусь что там.