Perl-Cronscript in PHP-Datei packen?

**knows MySQLDumper** Joined: 18 Aug 2008 Posts: 3

Hallo,

Normal ist ja der Dumper per HTACCESS geschützt und dann sieht der Aufruf des Cronscriptes ja in etwa so aus:
http://user:pass@domain.de/mysqldumper/msd_cron/crondump.cgi?config=mysqldumper.conf.php

Da ich aber keine eigenen Cronjobs habe, muss ich da bei einem externen Service angeben. Dann staht da aber mein User und Passwort im Klartext bei denen drinnen!

Frage:
Wie muss eine php-Date aussehen, die eben nix weiter macht außer das Cronscript aufzurufen?
Dann würde ja niemals mehr das Passwort etc irgendwo auftauchen, da nur noch die php-Datei als Cronjob angelegt werden muss.

MfG klorto

Posted: 2008-08-18, 19:30 (No subject)

Hmm, sorry, aber ich finde deine Idee irgendiwe total sinnlos und schwachsinnig.
Was glaubst du, was sicherer ist? Eine php-Datei, wo deine Zugangsdaten vom Dumper ungeschützt drin stehen und die Datei für JEDEN!!!! abrufbar ist, oder bei einem externen Cronjob-Anbieter, wo man erstmal deine dortigen zugangsdaten benötigt um zu schauen, wie deine Zugangsdaten für den Dumper lauten!

Soory, aber ich habe bis heute von noch keinem Fall gehört, das jemand über einen Cronjob-Anbieter an die zugangsdaten vom Dumper gekommen sind.

Posted: 2008-08-18, 19:43 (No subject)

@moepschen
Sorry, aber da muss ich den Kollegen klorto etwas in Schutz nehmen. Wink

Die Idee ist keinesfalls dumm oder sinnlos, sondern ein sinnvoller technischer Ansatz, um genau sein Ziel zu erreichen. Wenn die Zugangsdaten fest verdrahtet im PHP-Skript stehen, kann diese keiner auslesen. Man könnte zwar das Skript aufrufen, aber das würde dann lediglich ein zusätzliches Backup auslösen - an die Zugangsdaten käme man so nicht heran. Man bräuchte die Zugangsdaten noch nicht einmal, da man per PHP Verzeichnisse relativ aufrufen kann und dann greifen htaccess-Dateien gar nicht. Insofern ist der Denkansatz zunächst nicht verkehrt.

Aber ...

@klorto

Du könntest ein Perlskript per PHP nur dann aufrufen wenn Dein Hoster Systemkommandos aus PHP heraus erlauben würde, was ich stark bezweifle, da dies eine potentielle Sicherheitslücke darstellt.
Außerdem unterläge das Perlskript, da es in einem PHP-Aufruf gekapselt wäre, den Restriktionen, denen auch PHP unterliegt - zu deutsch: das Zeitlimit von PHP würde dann auch für Perl greifen. Das ist letztlich also doch keine Lösung.

Du könntest das Perlskript aber in einen beliebigen anderen (ungeschützten) Ordner außerhalb von MySQLDumper kopieren und den Cronjob darauf lenken. Das Perlskript muss keineswegs im Unterordner von MSD verbleiben.

Oder rüste Deinen Tarif auf, so dass Du eigene Cronjobs auf dem gleichen Server bekommst.

Posted: 2008-08-18, 20:00 (No subject)

DSB brauchst dich doch nicht entschuldigen...Ich habe natürlich in dem Moment nicht so ganz zu Ende gedacht. Ja klar, wenn ich es richtig anpacke, ist es schwer bis unmöglich an die Datei heranzukommen. Es sei denn, ich knacke den FTP-Zugang Wink

Aber ich hatte in dem Moment nur an eine php-Datei ala

Posted: 2008-08-18, 20:09 (No subject)

Naja, ein wenig überparanoid finde ich das auch. Da sind wir uns einig. Wink

Was wäre wohl los wenn rauskommen würde, dass ein Kostenlos-Anbieter von Cronjobs die Zugangsdaten zu Web-Accounts anderweitig benutzen würde? Das würde so eine Riesenwelle machen, dass der Anbieter gleich zumachen kann. Insofern glaube ich nicht daran.

Außerdem könnte man das gleiche Mißtrauen seinem direkten Webhoster entgegen bringen. Der hat ja auch Zugriff auf alle Daten.

Oder wie wäre es mit jedem Forenadmin? Jeder Admin kann in die DB-Tabellen gucken und sämtliche Privatnachrichten seiner User lesen.

Also wenn man will, kann man überall auf der Welt - auch im Internet - Böses vermuten und finden. Wink

Posted: 2008-08-18, 20:14 (No subject)

Und nicht nur da...siehe den großen Datenmißbrauch einer deutschen Krankenkasse Wink

nicht mal da bist du heute mehr sicher...

**knows MySQLDumper** Joined: 18 Aug 2008 Posts: 3

Im Endeffekt will ich ja eigentlich nur nicht meine Daten weiter verbreiten als nötig!
Und damit kann ich dann ja auch anderen (die nicht gleich volle Admins sind) die Möglichkeit bieten die Datenbank zu sichern <- da hab ich halt persönliches Interesse dran.

Posted: 2008-08-18, 22:32 (No subject)

**knows MySQLDumper** Joined: 18 Aug 2008 Posts: 3

Dank Dir, funktioniert super!
So habe ich mir das vorgestellt, keine Passwörter mehr im Link und trotzdem sichert es die Datenbank.

Vielen Dank!

MfG klorto