Passwort für Datenbank schützen

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Passwort für Datenbank schützen

    Hallo,

    habe eine mySQL-Datenbank, in die die USer via Formular einträgen machen können. Meine Frage: dhabe das passwort der datenbank sowie datenbankname etc. mit 'include' in einer separaten datei auf dem server, auf die das jeweilige php-script, welches die daten aus dem formular in die datenbank schreibt, zugreift.

    frage: wie kann ich aber die zugangsdaten zur datenbank besser schützen? so kann sie ja theoretisch jeder, der sich die include-datei anschaut, auslesen...

    danke!

  • #2
    Re: Passwort für Datenbank schützen

    Original geschrieben von arden
    frage: wie kann ich aber die zugangsdaten zur datenbank besser schützen? so kann sie ja theoretisch jeder, der sich die include-datei anschaut, auslesen...
    Und wer ist dieser jeder?

    Ist die Datei über das Web erreichbar?
    Nein: Gut


    Ja: Nicht so gut

    Ist die Datei in einen Ordner verschiebbar, der nicht über das Web erreicht werden kann?
    Ja: Gut, mach das

    Nein: Nicht so gut, lege in den Ordner eine .htaccess und verbiete jeglichen Zugriff; Mit PHP kannst du die Datei trotzdem noch auslesen, aber sonst kommt keiner dran, außer er hätte Zugriff auf den Server (aber dann hast du noch ganz andere Probleme)
    Ich denke, also bin ich. - Einige sind trotzdem...

    Kommentar


    • #3
      Und wer außer dir sollte die Include-Datei deiner Meinung nach ansehen können?

      Kommentar


      • #4
        Das würde mich auch mal interessieren.. Wenn du die datei nicht unbedingt dbdaten.inc nennst sondern wenigstens ein dbdaten.inc.php daraus machst wird das ding keiner lesen können .
        Versuch doch mal den kompletten Pfad+Datei im Browser einzugeben und du wirst sehen das du nichts siehst.
        gruss Chris

        [color=blue]Derjenige, der sagt: "Es geht nicht", soll den nicht stoeren, der's gerade tut."[/color]

        Kommentar


        • #5
          was vermutlich auch hilft der datei ein # voransetzen, das macht dem include nix aus, aber der browser hat bei einer datei mit # vornedran sehr viel mühe

          woran das liegt k.A. bzw. weiss ich es nicht genau, aber ich weiss dass er mühe damit hat, weil ich es selber schon getestet habe

          Kommentar


          • #6
            Original geschrieben von CH-King
            was vermutlich auch hilft der datei ein # voransetzen, das macht dem include nix aus, aber der browser hat bei einer datei mit # vornedran sehr viel mühe

            woran das liegt k.A. bzw. weiss ich es nicht genau, aber ich weiss dass er mühe damit hat, weil ich es selber schon getestet habe
            weil # einen Anker signalisiert, und der Browser daher versuchen wird, diesen Anker in seinem Dokument, welches er zu der Zeit nicht hat, zu finden.

            Kommentar


            • #7
              Original geschrieben von CH-King
              was vermutlich auch hilft der datei ein # voransetzen, das macht dem include nix aus, aber der browser hat bei einer datei mit # vornedran sehr viel mühe
              wie schon gesagt, das ist ein anker - und der existiert überhaupt nur clientseitig, wird per HTTP überhaupt nicht im request übermittelt.

              aber wozu derart unsauber vorgehen?
              gut, und bessere, möglichkeiten gibt es hier zuhauf - deinen vorschlag würde ich nur als absolute notlösung ansehen, wenn alle anderen nicht möglich sein sollten.
              I don't believe in rebirth. Actually, I never did in my whole lives.

              Kommentar


              • #8
                danke!

                danke für eure tipps!

                habe die datein in ein geschütztes verzeichnis geschoben - klappt (wusste nicht, dass php ohne passwort auf geschützte verzeichnisse zugreifen kann)

                achja: die datei könnte sonst doch jeder "auslesen", der sich den quellcode der seite ansieht, die den include-aufruf beinhaltet und dann diesen pfad nachvollzieht - oder mach ich da einen denkfehler?

                Kommentar


                • #9
                  Aber der Quellcode deiner Scripte ist doch nur für dich (und Leute mit einem FTP- oder SSH-Zugang zu deinem Server) sichtbar. Der Rest der Welt kann nur via Browser zugreifen und bekommt nicht den Code sondern dessen Ausgabe.
                  Wenn dein Webserver nämlich richtig eingerichtet ist, wird er niemals den Inhalt einer .php-Datei (deswegen auch .inc.php statt .inc, s.o.) zum User schicken sondern diese dem PHP-Interpreter übergeben. Der rattert sie durch und alles was dabei mit echo & Co. ausgegeben wird, bekommt der Webserver zurückgereicht. Das ist in der Regel eine 'normale' Webseite und die kann dann gefahrlos an den User verschickt werden.
                  Ich hoffe es ist jetzt ein bißchen klarer.

                  Kommentar

                  Lädt...
                  X