phpmyadminによる限定的なDB公開

Question

phpmyadminによる限定的なDB公開

受付中

回答 2

投稿 2016/04/10 18:39

評価
クリップ 0
VIEW 3,202

progman

score 50

前提・実現したいこと

mysqlのDB（データ）を公開したいとおもっています。
利用者にはselect文をつかって、自由にDBアクセスしてほしいとおもいます。
そこで、phpmyadminを利用して、
ログイン不要、
参照のみで、一部のテーブル、カラムは隠して
公開したいとおもうのですが、そのような例や方法はないでしょうか？
phpmyadminにこだわるものでもないですが、そのデータを利用したphpのアプリ
をweb公開していて、内部的な運用でphpmyadminも使用しているので、
それを使えればリソースを有効につかえるとおもいます。
現在運用中のphpmyadminは3.4.9ですが、バージョンアップしてもいいです。
mysql 5.5.28
php 5.4.31
centos 5.7
です。

発生している問題・エラーメッセージ

該当のソーード

試したこと

ネットでそのような事例を探すのですが、見つかりません。
phpはあまり得意ではありませんが、phpmyadminのソースをみたのですが、どこをどう直せばというのは、さっぱりわかりません。
以前、phpmyadminの機能を限定してDBアクセスするツールを運用しているのを見たことあるので、できるとおもっているのですが、phpを相当駆使しないと無理でしょうか？

補足情報(言語/FW/ツール等のバージョンなど)

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

クリップを取り消します
良い質問の評価を上げる

以下のような質問は評価を上げましょう
- 質問内容が明確
- 自分も答えを知りたい
- 質問者以外のユーザにも役立つ
評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。
質問の評価を上げたことを取り消します

評価を下げられる数の上限に達しました

評価を下げることができません
- 1日5回まで評価を下げられます
- 1日に1ユーザに対して2回まで評価を下げられます
質問の評価を下げる

teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。
- プログラミングに関係のない質問
- やってほしいことだけを記載した丸投げの質問
- 問題・課題が含まれていない質問
- 意図的に内容が抹消された質問
- 過去に投稿した質問と同じ内容の質問
- 広告と受け取られるような投稿
評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。
質問の評価を下げたことを取り消します

この機能は開放されていません

評価を下げる条件を満たしてません

評価を下げる理由を選択してください
プログラミングに関係のない質問やってほしいことだけを記載した丸投げの質問問題・課題が含まれていない質問意図的に内容が抹消された質問過去に投稿した質問と同じ内容の質問広告と受け取られるような投稿
詳細な説明はこちら

上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。
質問の評価を下げる機能の利用条件

この機能を利用するためには、以下の事項を行う必要があります。
- 質問回答など一定の行動
- メールアドレスの認証
  メールアドレスの認証
- 質問評価に関するヘルプページの閲覧
  質問評価に関するヘルプページの閲覧

回答 2 件

評価が高い順
新着順
古い順

同じタグがついた質問を見る

score 2 · Answer 1 · 2016-04-10T21:48

+2

基本的には利用者に任意のSQLを実行させるのはリスクが高いです。また、phpMyAdminを外部に公開するのもリスクが高いです。データに公開/非公開の区別があるならなおさらです。

Web I/FかAPIを作ってそれ経由でアクセスさせる方がよいでしょう。

あまりお勧めはしませんが、別サーバに公開してもかまわないデータをコピーしてphpMyAdminを動かす、MySQLで適切な権限を設定したユーザーを作りphpMyAdminの接続ユーザーとしてそのユーザーを設定する、という方法も考えられなくはないです。

投稿 2016/04/10 21:48

回答の評価を上げる

以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
回答の評価を下げる

下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

score 0 · Answer 2 · 2016-04-10T18:51

-1

select文の「勉強用サイト」の構築をお考えでしょうか。それであれば既存の物を利用される方が良いと思います。

【SQL Fiddle】
http://sqlfiddle.com/

データの公開及び検索を目的とされるのであれば、Webサイトとして公開している場所で検索を実装されるのが現実的だと思います。検索結果をAPI的に外部から利用したいのであれば、そういった機能を持つフレームワークなどを探されてはいかがでしょう。

ソースを変更してしまうと、脆弱性を生む可能性が極めて高く、お勧めできません。

追記：

【権限の種類と設定されている権限の確認(SHOW GRANTS文) - ユーザーの作成 - MySQLの使い方】
http://www.dbonline.jp/mysql/user/index5.html

【ユーザー管理・権限｜MySQL｜PHP & JavaScript Room】
http://phpjavascriptroom.com/?t=mysql&p=grant

投稿 2016/04/10 18:51

編集 2016/04/10 19:28

回答の評価を上げる

以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
回答の評価を下げる

下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

2016/04/10 19:12

早速のレスありがとうございます。

データへの任意アクセス（参照のみ）手段の提供であって、
sqlの勉強サイトの提供ではありません。

sql文を知っている利用者に任意のselectを実行して、検索
させたいということです。

早速のレスありがとうございます。データへの任意アクセス（参照のみ）手段の提供であって、 sqlの勉強サイトの提供ではありません。 sql文を知っている利用者に任意のselectを実行して、検索させたいということです。

キャンセル
2016/04/10 19:28

追記しました。

追記しました。

キャンセル
2016/04/12 20:25

レスありがとうございます。

DBMSの機能で、アクセス制限をつけるということですね、
特定のテーブル、カラムを見せたくないのも、viewなどで実現できます。

しかし
・ログイン手続きをなくす。
・phpmyadmin上でアクセスされたくない、オブジェクト（他のスキーマ）、機能（エキスポート）は隠したい。

というところが実現できません。

通常使用している、phpmyadminとは別にインストールして、
そこでカスタムするでもよいのですが、そうするとなるとphpmyadminのソース
をおって修正することになるでしょうか？

レスありがとうございます。 DBMSの機能で、アクセス制限をつけるということですね、特定のテーブル、カラムを見せたくないのも、viewなどで実現できます。しかし・ログイン手続きをなくす。・phpmyadmin上でアクセスされたくない、オブジェクト（他のスキーマ）、機能（エキスポート）は隠したい。というところが実現できません。通常使用している、phpmyadminとは別にインストールして、そこでカスタムするでもよいのですが、そうするとなるとphpmyadminのソースをおって修正することになるでしょうか？

キャンセル
2016/04/12 22:19

> ログイン手続きをなくす。
そういう設計にはなっていませんが、仮にできたとしてprogmanさんもphpmyadmin上でSELECT以外使えなくなります。

> phpmyadminのソースをおって修正する
回答にも書きましたが、お勧めできません。

suzukisさんのおっしゃるように、Web I/FかAPIを作ってそれ経由でアクセスさせる方がよいでしょう。

> ログイン手続きをなくす。そういう設計にはなっていませんが、仮にできたとしてprogmanさんもphpmyadmin上でSELECT以外使えなくなります。 > phpmyadminのソースをおって修正する回答にも書きましたが、お勧めできません。 suzukisさんのおっしゃるように、Web I/FかAPIを作ってそれ経由でアクセスさせる方がよいでしょう。

キャンセル
2016/04/16 19:24

レスありがとうございます。

「Web I/FかAPI」とはREST,Web APIのようなものですか
httpクライアントからSQL文を投げて、JSONで結果を受け取るようなものでしょうか？

私は、ブラウザ上でSQL入力、結果を確認するのというサービスを提供したいとおも
っています。

RESTにしたらリスク低減するでしょうか？
よくわからず、phpmyadminで公開するのは、危険ですよ！
というなら、そうでしょう。
ですから、私はphpmyadminのカスタマイズについて知りたいとおもって投稿
しています。
他にWebベースのものが、たとえばjavaででもあれば、それはうれしいですが、

現運用のphpmyadminは、パスワード以外にも容易にアクセスできない仕組みに
なっていますから、それと併用とはいかないです。
前の投稿で「phpmyadminの環境を二重にもって公開用にカスタマイズ」といっ
たことを書いていますよね

０からつくるより、phpmyadminをカスタマイズするほうが、はるかに楽ですし、
実際そういう運用例もみたので、似たようなことをされてる例があればとおもって
投稿したのですが、そのようなレスがつかないということは、自分で相当中身を
理解してやるといったことしかないようですね

レスありがとうございます。「Web I/FかAPI」とはREST,Web APIのようなものですか httpクライアントからSQL文を投げて、JSONで結果を受け取るようなものでしょうか？私は、ブラウザ上でSQL入力、結果を確認するのというサービスを提供したいとおもっています。 RESTにしたらリスク低減するでしょうか？よくわからず、phpmyadminで公開するのは、危険ですよ！というなら、そうでしょう。ですから、私はphpmyadminのカスタマイズについて知りたいとおもって投稿しています。他にWebベースのものが、たとえばjavaででもあれば、それはうれしいですが、現運用のphpmyadminは、パスワード以外にも容易にアクセスできない仕組みになっていますから、それと併用とはいかないです。前の投稿で「phpmyadminの環境を二重にもって公開用にカスタマイズ」といったことを書いていますよね０からつくるより、phpmyadminをカスタマイズするほうが、はるかに楽ですし、実際そういう運用例もみたので、似たようなことをされてる例があればとおもって投稿したのですが、そのようなレスがつかないということは、自分で相当中身を理解してやるといったことしかないようですね

キャンセル

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！

phpmyadminによる限定的なDB公開

前提・実現したいこと

発生している問題・エラーメッセージ

該当のソーード

試したこと

補足情報(言語/FW/ツール等のバージョンなど)

関連した質問

同じタグがついた質問を見る

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！

phpmyadminによる限定的なDB公開

前提・実現したいこと

発生している問題・エラーメッセージ

該当のソーード

試したこと

補足情報(言語/FW/ツール等のバージョンなど)

15分調べてもわからないことは、teratailで質問しよう！

関連した質問

同じタグがついた質問を見る

SNSアカウントでログイン

teratailアカウントでログイン