Verständnisfrage SQL Injection

[pneumokoniose]

Hallo hier im Forum,

ich habe eine Verständnisfrage zum Thema SQL Injection: Wenn es einem Angreifer gelingen sollte, via SQL Injection Zugriff auf meine Datenbank(en) zu erlangen: Welche Mittel bzw. welche Rechte stehen ihm dann zur Verfügung? Hintergrund ist folgender:

Ich betreibe auf einem vServer einen eigenen E-Mail-Server (Postfix und Dovecot). Und da inzwischen auch schon einige Freunde und Bekannte meinen E-Mail-Server nutzen, hatte ich gestern die Benutzerverwaltung auf MySQL umgestellt. Ebenfalls sind auf diesem vServer noch zwei Wordpress-Installationen am laufen, die ich aktuell noch nicht abschalten bzw. ersetzen kann. Das heißt, es gibt drei MySQL-Datenbanken:

1. wordpress_1
2. wordpress_2
3. mail

Meine Hintergedanke: Kann ein Angreifer via SQL Injection via eine meiner Wordpress-Installationen Zugriff auf die Datenbank "mail" erlangen? Bzw. welche Rechte / Mittel stehen Ihm dann zur Verfügung? Und woran ist das abhängig? Jede Datenbank hat dabei seinen eigenen Benutzer:

Code: Alles auswählen

grant all on wordpress_1.* to 'wordpress_1'@'localhost' identified by 'DASPASSWORT';

Vielleicht kann mir ja jemand auf die Sprünge helfen.

Vielen Dank!

[sbruder]

Ich kenne mich mit SQL jetzt nicht so gut aus, aber wenn ich es richtig verstanden habe, hat wordpress einen eigenen Datenbankbenutzer, der ausschließlich auf seine Datenbank Zugriff hat. Das müsste (falls kein Bug in MySQL besteht) den Angreifer auf die WP-Datenbank beschränken.
Falls sich jemand™ besser mit SQL auskennt möchte der mich eines Besseren Belehren.

[Paddie]

Dem ist nichts hinzuzufuegen!
Wenn du die Rechte der einzelnen Datenbanken ordentlich gesetzt hast, sodass nur der jeweilige Benutzer darauf zugreifen kann...UND die Passwoerter der anderen DBs "schwer" genug sind... UND es keine Sicherheitsluecke im SQL-Server gibt... sollte den anderen DBs nichts passieren .
Wobei ich jetzt nicht wirklich weiss, wie das mit den Rechten bei MySQL ist, aber ich geh mal davon aus, dass es nicht sehr viel anders laeuft wie bei Postgres.

Wobei es ja schon schlimm genug ist, wenn jemand Zugriff auf "die eine" DB haette. Wir wissen ja selbst, wie Passwoerter genutzt werden...

Passend hierzu https://xkcd.com/327/ ... .

Gruss

Paddie

[pneumokoniose]

Alles klar, super, genau das wollte ich wissen! Vielen Dank an euch beide!

[whisper]

Passend hierzu https://xkcd.com/327/ ... .

Der ist gut! Und aus dem Leben gegriffen, in der Anfangszeit vom Web gabs sowas wirklich.

Na, ok, gibts immer noch, wenn auch nicht auf einem Uni-Server, hoffe ich doch

[Meillo]

Passend hierzu https://xkcd.com/327/ ... .

Der ist gut! Und aus dem Leben gegriffen, in der Anfangszeit vom Web gabs sowas wirklich.

Na, ok, gibts immer noch, [...]

Natuerlich, oder meinst du die haetten alle ihren Namen aendern lassen?