ODBC Connect ohne Klartextpasswort möglich ?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • ODBC Connect ohne Klartextpasswort möglich ?

    Hallo,

    bräuchte mal Eure Hilfe.

    Ich habe ne MSSQL Abfrage über ODBC realisiert. Auf dem Testserver war das Hardgecodete Passwort okay aber für die Produktion zu heikel.

    Man schreibt ja

    $conn = odbc_connect(string dsn, string user, string password)

    und genau das ist mein Problem ich will nicht, dass irgend wo mein Passwort im Klartext steht. Bekommt das jemand in die Hände ist ziemlich doof.

    Beim ODBC Administrator also beim System DSN legt man ja die Source an und trägt den User und das Passwort ein. Warum müssen in PHP noch mal die Benutzerdaten stehen?

    Muss ich das Passwort in PHP Hardcoden oder gibt es nen Weg dass es nicht sichtbar ist?

    Gruß

    PSYDASH
    Zuletzt geändert von psydash; 15.11.2005, 11:06.

  • #2
    Du kannst dein Passwort zumindest in der Form chr(112).chr(97).... irgendwo unauffällig generieren. Das geht natürlich noch viel komplizierter, irgendeine abgefahrte Funktion oder sowas ... damit dürfte der Laie schon überfordert sein.

    Einen Kenner kannst du nicht täuschen, der wird das Passwort ruckzuck raus bekommen, weil er sich den DSN ausgeben läßt, bevor der zum Connect dient. Und soweit ich mich erinnere, kann man das Passwort im DSN nicht verschlüsselt angeben. Aber versuchs doch einfach mal.

    Kommentar


    • #3
      Ja das habe ich auch schon gemacht mir bleibt ja leider nix anderes übrig. Also nen Laie bekommt es wohl nicht raus aber nen gutes Gefühl hat man trotzdem dabei nicht.

      Was einfach nicht in meinen Kopf will, dass eine Programmiersprache so was nicht unterstützt.

      Das Passwort vorher verschlüsseln (md5) habe ich schon versucht dann nimmt der DNS es leider nicht mehr an bzw. kein Connect mehr möglich.

      Was ich nicht kapiere warum muss ich beim ODBC das PW hinterlegen und im PHP Script und warum zum Teufel unverschlüsselt das ist doch echt traurig.

      Kommentar


      • #4
        Mußt du nicht, der DB-Server kann auch auf Username + IP prüfen oder andere Mechanismen wie PAM nutzen.

        Wozu brauchst du das denn bzw. wieso fürchtest du, dein Passwort könnte gelesen werden?

        Kommentar

        Lädt...
        X