Adminer 4.6.3

Školení, která pořádám

Nejdůležitější změnou v Admineru 4.6.3 je zakázání příkazu LOAD DATA LOCAL INFILE v MySQL. S jeho pomocí jde totiž načíst obsah libovolného souboru, ke kterému má přístup uživatel, pod kterým běží webový server.

Podobně zásadní změnou je zákaz používání databází bez hesla. Už v minulosti jsem zakázal přístup bez hesla k SQLite, teď to platí pro všechny databáze. Chápu, že třeba na vývojových serverech nepřístupných zvenčí to může být trochu opruz, ale detekce toho, zda jde o vývojový server, by byla nespolehlivá (např. za reverzní proxy), proto jsem to zakázal všude. Máte tři možnosti, jak se s tímto omezením vypořádat.

Další změny jsou drobnější:

Jakub Vrána, Adminer, 28.6.2018, diskuse: 9 (nové: 0)

Diskuse

Salko:

Zdravím, už dve verzie pozorujem jednu vec, len som to zabudol nareportovať.
Úprava indexov, chcem pridať tri nové indexy, ale umožňuje mi to pridať iba dva. Pri výbere druhého sa už nezobrazí nový radok s indexom.

ikona Jakub Vrána OpenID:

Díky za upozornění, opravil jsem to.

Salko:

Veľká vďaka, dobrá práca.

PeTaX:

Pro MySQL lamy (jako jsem já). Když se vydáte tou nejsnazší cestou, tedy si databázi zaheslujete, buď přímo v tabulce, nebo příkazem:
UPDATE `user` SET `password` = PASSWORD('YOUR_PASS') WHERE `user` = 'root';
musíte také novou kofiguraci MySQL načíst do paměti:
FLUSH PRIVILEGES;
Jinak Vám Adminer (ani jiná aplikace) zadané heslo nepřijme.

ikona Jakub Vrána OpenID:

Lepší je použít příkaz https://dev.mysql.com/doc/mysql/en/set-password.html.

Pavel Kravčík:

Nepříjemná změna, pokud se týká více projektů lokálně. Můžeš vyřešit i locku na nižší verzi.

ikona Jakub Vrána OpenID:

Vzhledem k tomu, že tato verze opravuje i celkem vážnou bezpečnostní chybu (lokální čtení souborů), tak to je to poslední řešení, které bych doporučil.

Lofas:

Souhlasím, pro mne je taky verze 4.6.2 konečná, protože nehodlám na X desítkách míst zbytečně nastavovat heslo, když to není potřeba. Takhle stačila úprava stahovacího skriptu a zafixování na konkrétní verzi a je hotovo. :)

ikona Jakub Vrána OpenID:

Zhruba stejně pracné by bylo použít plugin, které přihlášení bez hesla zase povolí.

Vložit komentář

Používejte diakritiku. Vstup se chápe jako čistý text, ale URL budou převedeny na odkazy a PHP kód uzavřený do <?php ?> bude zvýrazněn. Pokud máte dotaz, který nesouvisí s článkem, zkuste raději diskusi o PHP, zde se odpovědi pravděpodobně nedočkáte.

Jméno: URL:

avatar © 2005-2018 Jakub Vrána. Publikované texty můžete přetiskovat pouze se svolením autora. Ukázky kódu smíte používat s uvedením autora a URL tohoto webu bez dalších omezení Creative Commons. Můžeme si tykat. Skripty předpokládají nastavení: magic_quotes_gpc=Off, magic_quotes_runtime=Off, error_reporting=E_ALL & ~E_NOTICE a očekávají předchozí zavolání mysql_set_charset. Skripty by měly být funkční v PHP >= 4.3 a PHP >= 5.0.