[Python] Trigger in python

Manlio Perillo manlio.perillo a gmail.com
Lun 20 Feb 2012 12:29:48 CET


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Il 20/02/2012 06:42, Diego Barrera ha scritto:
> On 17/02/2012 22:06, Manlio Perillo wrote:
>> Visto quello che dici dopo, non capisco perchè ti poni il problema di
>> sicurezza, visto che usi una instanza privata di MySQL.
> Even for a benign user, it is possible to accidentally do a lot of
> damage with it. The call will be executed with the privileges of the os
> user that runs MySQL, so it is entirely feasible to delete MySQL's data
> directory, or worse.
> 
> per me equivale a : se la usi sicuramente fai quel genere di ca.ata :)

Ti sbagli.
Si tratta solo di eseguire un processo.

Il problema è che se quella funzione la possono chiamare utenti non
controllati, può succedere che qualcuno esegua "rm -rf /var/lib/mysql".

Ma se usi una instanza di MySQL privata, e se il nome e i pamametri
della riga di comando del processo esterno sono fissi (in particolare
non dipendono da input esterno non controllato), allora non vedo perchè
farsi problemi.

Tra l'altro, con PostgreSQL e pl/python hai esattamente lo stesso
"problema".
E se hai la necessità di eseguire codice che acceda al sistema
operativa, hai questo "problema" qualsiasi cosa tu voglia usare.


Ciao  Manlio
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk9CLqwACgkQscQJ24LbaUT7cACeP6IsFi1YhD8A9D3AZTHPB6gw
KGkAn13xQtFpPSmdkU4gkCsVeMElNnfO
=8oLw
-----END PGP SIGNATURE-----


Maggiori informazioni sulla lista Python