Blog de la rubrique MySQL » Outils

Améliorer efficacement la sécurité de votre base de données : MySQL-Proxy

Alain Defrance — Tue, 19 Aug 2008 09:18:50 +0000

L’injection SQL est un fléau qui guette les développeurs d’applications, et particulièrement les applications web (à cause de leur exposition aux attaques).
Les failles provoquant ces injections sont difficiles à combler de manière définitive puisqu’elles vont dépendre de l’application et des technologies employées.
Il serait très utile de pouvoir régler de manière définitive ces injections côté SGBD.
Une solution commence à voir le jour, elle s’appelle MySQL-Proxy.

MySQL-Proxy est un outil qui surveille tous les échanges entre le client (client de SGBD, ou application), et le SGBD.
Ce contrôle repose sur le fait que toutes les requêtes exécutées par une application (donc les seules susceptibles de provenir d’une injection) possèdent une forme définie. Il devient alors possible d’établir les formes possibles et les autoriser.

MySQL-Proxy s’utilise en deux étapes :

Le mode d’apprentissage est un mode où MySQL-Proxy analyse et considère les requêtes comme valables, ceci se déroule souvent au cours du développement. Tous les cas de figure sont alors analysés, traités, puis mémorisés.

Le mode de blocage est un mode où MySQL-Proxy applique les règles connues. Les requêtes dont la forme est inconnue seront alors considérées comme non autorisées et provoquerons un retour d’erreur de la part du SGBD.

Cette information a été trouvée sur un article de blog de Stefan Esser

Vous pouvez également obtenir plus d’informations sur le site de MySQL-Proxy

MySQL Workbench Community Edition : Encore un nouveau designer !

Alain Defrance — Wed, 13 Aug 2008 23:35:19 +0000

Décidément la communauté MySQL met le paquet en ce moment dans la création d’outils.
MySQL Workbench est la nouvelle génération de designer. Ce projet n’est autre que la reprise de DBDesigner 4 par SUN.

La conception visuelle est très riche puis qu’elle permet de gérer les tables, les index, les vues, les procédures stockées, les déclencheurs et les privilèges de sécurité.

Un grand plus par rapport à ses concurrents : la pro-ingénierie et rétro-ingénierie.
Si plusieurs outils permettent actuellement de générer un script SQL à partir d’un MCD (modèle conceptuel de données), les outils permettant de reconstruire un MCD à partir de données physiques sont très rares. Il propose par ailleurs des moyens de comparer efficacement le chargement de différentes versions d’une base de données afin d’optimiser la gestion du changement.

L’intégration de DBDoc permet de proposer un système de génération de documentation détaillée au format HTML.

La version « Community Edition » est gratuite et open source, elle promet donc de toucher un large publique.

SQL Designer : un outil graphique de conception de bases de données (MySQL)

ced — Mon, 11 Aug 2008 23:48:08 +0000

SQL Designer est un utilitaire permettant de réaliser la conception de bases de données de manière graphique et conviviale.
Son grand avantage réside dans le fait que la conception se fait au sein d’un navigateur, grâce à un développement réalisé en Javascript. Il n’est donc pas nécessaire d’avoir un programme flash installé, et l’outil est donc compatible avec un grand nombre de plateformes techniques. Il fonctionne sur la plupart des navigateurs connus (Firefox, IE 6 & 7, Opera, Safari…)

Cet outil libre (distribué sous licence GNU GPL), qui vient de passer en version 2, supporte déjà un bon nombre des fonctionnalités des bases de données : création, modification et suppression de tables, définition des clefs primaires, de clefs étrangères, d’index… Et le tout se faisant graphiquement.

Une fois votre schéma défini, vous pouvez générer le code SQL de génération (pour MySQL), ou le sauver au format XML.
Plus fort encore, vous pouvez générer automatiquement les schémas de bases MySQL existantes (reverse engineering).

Le site du concepteur de ce très bon outil, léger et déjà très abouti, propose même une interface de test pour se familiariser.

Plus d’infos sur http://ondras.zarovi.cz/sql/