Безопасность работы с MySQL

[troyanich]

Хочу узнать как обезопасить обмен данными между C# и MySQL (без php) и возможно ли. Знаю что при использовании php злоумышленнику не удастся скачать php в котором хранятся логин и пароль от базы. А если делать запросы к базе напрямую из C# то есть вероятность что мой web билд разберут и достанут оттуда всю необходимую инфу. Использование php мне кажется делает не настолько удобным работу с базой поэтому возникает вопрос о безопасности работы с базой напрямую из C#.

[gnoblin]

поэтому из c# к базе конектитесь на сервере,
а из юнити ни к какой базе не конектитесь.

[Neodrop]

Эээ. А как можно скачать php скрипт?

[Avatarchik]

Зайти на хост(сервер) сайта и скачать

[MAKC]

Вариант один, создать пользователя только для чтения бд... и соответственно настроить ему область видимости - вот простой выход, если устраивает.
Скачать php скрипт, да и любые файлы, с любого сервера не всегда тяжело

[Neodrop]

Зайти на хост(сервер) сайта и скачать

Интересно, как это? Если доступ к данной папке со скриптом прикрыт.

[Avatarchik]

Взломать сервер, узнать пароль админа и тд.Кому надо тот найдет способ...

[Neodrop]

Ага. Ещё можно прийти в офис провайдера и сломать ему ноги, за то, что он будет защищать сайт клиента.
Не надо доходить до маразма.

[troyanich]

А что если логин и пароль от базы хранить в php скрипте на сервере? При старте спрашивать php и создавать соединение, а дальше работать с базой без php

[Lestar]

Бред.Данные хранятся в БД,пароль под MD5.Не нравится,хешируйте и пишите в бинарник.

[eric]

А что если логин и пароль от базы хранить в php скрипте на сервере? При старте спрашивать php и создавать соединение, а дальше работать с базой без php

Кто помешает любому другому спросить пароль у вашего скрипта? ))
Равно как и пароль находящийся в клиенте попадет в плохие руки рано или поздно ( сроки зависят от получаемой выгоды и целей/опыта злоумышленника).
Если данные не проверяются на сервере ( с изначальным подходом что клиентские данные могут быть скромпрометированы) - бесполезно защищать как БД так и пароль от нее даже без пароля можно вмешаться (имитировать) передачу на стороне клиента .
Задачи php как раз то не прослойка между клиентом и базой, а логика и данные, которым можно доверять.

[Lestar]

Чтобы сбрутить 12-ти значный пароль понадобится более полугода.Безопасность зависит не от того где хранить пароль и логин.

[eric]

Чтобы сбрутить 12-ти значный пароль понадобится более полугода.Безопасность зависит не от того где хранить пароль и логин.

Игре тоже понадобиться не менее полугода? Или вы запишите пароль в игру? Или в зашифрованный файл, пароль от которого запишите в игру?)))

( сроки зависят от получаемой выгоды и целей/опыта злоумышленника).

Если мне нужно имитировать факт прохождения уровня - я вряд ли буду искать пароль от БД - хотя конечно смотря как его хранить.

[Lestar]

Игре тоже понадобиться не менее полугода? Или вы запишите пароль в игру? Или в зашифрованный файл, пароль от которого запишите в игру?)))

Это своеобразный троллинг или вам не известно значение выражения "сбрутить хэш"?
Я не страдаю маразмом,в подобных ситуациях я хэш храню в БД.Есть желание,ламайте,доставайте.Администратору достаточно раз в месяц менять пароль,чтобы все попытки были не более чем пшиком.
P.S.Если вы собираетесь архивировать хешированый пароль под опять же в запароленый архив,а пароль к архиву тоже хешировать(а в обратном порядке все это доставать и читать),вам родители по видимому в детстве ну очень страшные сказки читали.

[eric]

Это своеобразный троллинг или вам не известно значение выражения "сбрутить хэш"?

Нет, это скорее юмор, но ваш уровень не позволил вам его понять. Хамить бабушке своей будешь.

Если не хватает мозгов понять что для доступа клиента к БД нужен пароль, который придется ему сообщить - меняй хоть каждый день.
Храни дальше пароль от базы в клиентских файлах. Хоть в виде хеша, хоть в виде китайской азбуки. И не забудь запантетовать супер-крутой способ защиты БД.
Учись держать себя в рамках и не тратить чужое время на чтение твоего "маразма" и написание адекватного ответа.