News MYSQL

Quelques questions de sécurité appliquées à MySQL

Note de l'auteur :

L'audit de base de données arrive sur MySQL. Il s'agit d'assurer la sécurité des données, et de savoir ce qui se passe sur un serveur une fois qu'on a donné des droits à de multiples usagers, alors que les données sont critiques.

cybersite a appliqué à MySQL une liste de question de sécurité qui est appliquées aux serveurs critiques.

J'ai notamment retenu cette conception :
"Certains découpe la sécurité des données en cinq parties : inventaire (savoir ce qu'on a), profilage (ne garder que ce dont on a besoin), protection (défendre ce qu'on a), évacuer (supprimer ce qui n'est plus utile) et planification (le plan de réaction aux catastrophes)."

- Security Questions Applied to MySQL

• Auteur
  LA GLOBULE
• Ecrire un commentaire

Intégrer FCKeditor avec MySQL

Cet article est destiné à combler le manque de documentation pour l'intégration de FCKeditor dans une base MySQL.
Les articles qui existent montre comment configurer et utiliser l'éditeur, mais pas comment sauver le résultat dans une base SQL.

Même si cet article utilise MySQL, les concepts seront faciles à adapter aux autres bases de données.
Tous les exemples se basent sur une configuration Linux et PHP 4.3.0, mais la encore, les concepts seront faciles à porter.

- Integrating FCKeditor With Your MySQL Database
- FCKeditor

• Auteur
  LA GLOBULE
• Ecrire un commentaire

Comportement bizarre avec NULL

Imaginez un peu : vous cherchez dans une table une ligne avec une colonne NULL et MySQL vous renvoie une ligne. Mais la colonne que vous demandez n'est pas NULL... Puis, vous demandez une nouvelle fois cette ligne, et à la deuxième sollicitation, elle a disparu ! Bizarre ?

Non, une fonctionnalité nécessaire pour assurer la compatibilité avec Microsoft Access.

- Why IS NULL doesnt always work in MySQL

• Auteur
  LA GLOBULE
• Ecrire un commentaire

Maintenance automatique et SQL dynamique

Cet article est intéressant à deux points de vue : SQL dynamique et maintenance.

Il est possible de créer des requêtes SQL dans MySQL. C'est à dire, de constituer une commande SQL, puis de l'exécuter. Un peu comme le fait eval() en PHP. Pour cela, il faut passer par des procédures stockées. Pabloj s'en sert pour la maintenance,

En fait, comme eval(), c'est un risque de vulnérabilité SQL assez important. Au lieu de modifier la requête SQL courante, il devient possible d'en construire une autre, et de l'exécuter. Je ne connais pas encore d'application pratique, mais il faut maintenant garder ce problème sur son radar.

L'autre aspect intéressant est l'utilisation du programmeur de tâches de MysQL 5.1.

- Automating mantenance tasks on MySQL
- Dynamic SQL in stored procedures
- MySQL 5.1 New Features: MySQL Events

• Auteur
  LA GLOBULE
• Ecrire un commentaire

Sauvegardes MySQL : quatres solutions

Pour sauvegarder des données MySQL, il y a plusieurs approches. La copie de fichiers, mysqldump, mysqlhotcopy, mysqlsnapshot et zmanda.

Zmanda est édité par une société tierce, qui est spécialisée en sauvegarde MySQL. Ils viennent de recevoir un financement complémentaire, et leurs produits sont Open Source et gratuits. Des services d'interventions sont proposés en sus.

- Backing up MySQL data
- mysqlhotcopy
- mysqlsnapshot
- mysqldump
- zmanda

• Auteur
  LA GLOBULE
• Ecrire un commentaire

13 raisons pour et contre MySQL

Simultanément, sur CIO.com, deux articles opposés sont publiés. 5 raisons pour adopter MySQL, et 8 raisons pour ne pas l'adopter.

Pour : MySQL est ubiquitaire, simple, bien supporté, et évolutif ; a un faible TCO.
Contre : MySQL utilise la GPL, MySQL n'utilise pas la GPL, Intégration dans l'environnement, maturité du produit et des fonctionnalités, disponibilité des certifications, aspect entreprise.

Dans la série des arguments contre, les trois premiers sont valables. Les deux suivants discutables, mais les derniers sont presque de la désinformation.

- 5 reasons to use MySQL
- Eight Sound Reasons Not to Use MySQL
- 8 Reasons Not To Use MySQL (And 5 To Adopt It)

• Auteur
  LA GLOBULE
• Ecrire un commentaire

Le dépot de fonctions MySQL

Bienvenue sur le MySQL UDF Repository ! Le MySQL UDF repository (le dépôt de fonctions utilisateurs pour MySQL) offre une collection organisée de MySQL UDF Open Source.

Il y a de nombreuses fonctions MySQL UDF dans le domaine public. Malheureusement, la plupart apparaissent seules. Souvent, les binaires ne sont pas inclus : seul le code source est disponible. Dans de nombreux cas, il n'est pas évident de compiler la fonction pour certaines plate-formes. De même, la documentation, les instructions d'installation sont parfois rares, voire manquantes. Il y a aussi des incohérences d'ensemble dans le nommage, la gestions des erreurs et leur affichage.

- MySQL User Defined Function Repository
- MySQL user defined functions
- MySQL UDF Repository

• Auteur
  LA GLOBULE
• Ecrire un commentaire

Taux d'échec aux certifications MySQL

Carsten Pedersten publie les taux de réussite des examens de certification MySQL. Ils sont maintenant pas moins de 5, couvrant les développeurs, les administrateurs et le Cluster. A 45% de taux de passage, c'est un signe que ces examens sont difficiles. Carsten indique que d'habitude il obtient un taux de passage plus proche de 60%. Dans tous les cas, cela donne une valeur importante à l'examen.

Si seulement Zend pouvait produire des statistiques similaires pour la certification PHP.

- MySQL Conference Certification Exams: The numbers are up

• Auteur
  LA GLOBULE
• Ecrire un commentaire

Top 15 des scanners d'injections SQL

Les injections SQL sont monnaie courante sur les sites Web, et les techniques pour les exploiter sont aussi nombreuses. Même si une injection échoue en premier lieu, et donne une page vide, il est possible d'utiliser l'injection pour manipuler le résultat, et seul un peu de patience et d'astuce seront nécessaires.

security-hacks a rassemblé 15 scanners qui essaient d'agrandir une vulnérabilité, pour mieux s'introduire dans une application web.

Les outils demandent parfois certaines conditions, ou bien exploitent simplement des situations particulières. La lecture des documentations est édifiante du point de vue sécurité.

- Top 15 free SQL Injection Scanners

• Auteur
  LA GLOBULE
• Ecrire un commentaire

Activer le log de requête MySQL

Après avoir développé une application Web, il est souvent intéressant d'activer le log de requête SQL de MySQL, pour voir à quel point l'application utilise la base de données.

Moins de requêtes revient souvent à plus de performances.
C'est probablement aussi vrai pour évaluer une application.
Drupal commence avec une cinquantaine de requête SQL, mais avec les caches, cela peut décroitre très vite.

- Monitor All SQL Queries in MySQL

• Auteur
  LA GLOBULE
• Ecrire un commentaire