sischer oder net sischer ?!

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • sischer oder net sischer ?!

    ja guten Abend,

    hätte da mal eine kleine Frage zwecks der Sicherheit bzw lesbarkeit von php Dateien auf einem Server.
    Wenn ich via php auf eine Datenbank zugreife:
    PHP-Code:
    zb:
    $conmysql_connect('localhost','test','123') or die(mysql_error()); 
    und in diesem Code ja ebenfalls das Passwort steht, ist das denn irgendwie auslesbar oder kann ich mir da sischer sein,daß das nicht passiert.

  • #2
    nur wenn du an den quellcode kommst.
    Für alle die Fehler suchen, gibts gratis tolle Debuggingmöglichkeiten:
    var_dump(), print_r(), debug_backtrace und echo.
    Außerdem gibt es für unsere Neueinsteiger ein hervorragendes PHP Tutorial zu PHP 4 und PHP 5 (OOP)
    Es heißt $array['index'] und nicht $array[index]! Und nein, das ist nicht egal!
    Dieses Thema lesen, um Ärger im Forum und verzögerte Hilfen zu vermeiden.

    Kommentar


    • #3
      wenn ich weiß, die datei ist beispielsweise unter

      http://www.irgendwas.de/123/bittenichtknacken.php

      Muß dann der Mensch, der daran kommen will erst den Server hacken oder ist es ein leichtes das zu bewerkstelligen und den quellcode auzulesen?
      Kann ich, wenn das so ist, das passwort denn verschlüsseln?
      oder ist das quatsch was ich frage und kann beruhigt schlafen gehn und hoffen das alles gut geht!?

      Kommentar


      • #4
        Hallo,

        für gewöhnlich geht man so vor, dass man den DB-zugriff in ein eigenes Script auslagert und in einen per .htaccess geschützten Ordner ablegt, die eigentlichen Scripte greifen dann alle auf dieses 'Zugriffs-Script' zu.

        Vorteile:
        - wird bei der DB zum Beispiel mal das Passwort oder was weiß ich was geändert, so musst du diese Änderung nur einmal in diesem Script eintragen.
        - die Datei ist per http nicht erreichbar da .htaccess geschützt.

        Prinzipiell können auch so die Daten nicht via http ausgelesen werden, da eine PHP-Datei immer vom Webserver durch den Parser geschickt wird und dann nur die Ausgaben davon an den Client sendet.

        Allerdings hatt ich schon mal nen Provider wo ca. bei jedem 5. Aufruf eines Scripts plötzlich der Quellcode an den Browser gesendet wurde, stünden da dann die Zugangsdaten drin, wären sie für jedem lesbar.

        Gruss
        Quetschi
        Ihr habt ein Torturial durchgearbeitet, das auf den mysql_-Funktionen aufbaut?
        Schön - etwas Geschichte kann ja nicht schaden.
        Aber jetzt seht euch bitte php.net/pdo oder php.net/mysqli bevor ihr beginnt!

        Kommentar


        • #5
          Original geschrieben von Quetschi
          Allerdings hatt ich schon mal nen Provider wo ca. bei jedem 5. Aufruf eines Scripts plötzlich der Quellcode an den Browser gesendet wurde, stünden da dann die Zugangsdaten drin, wären sie für jedem lesbar.
          aber nicht jeder hat so einen Provider

          Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!

          bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
          Wie man Fragen richtig stellt

          Kommentar


          • #6
            Original geschrieben von ghostgambler
            aber nicht jeder hat so einen Provider
            Ich hab seid damals auch keinen solchen mehr passieren kann's trotzdem jedem, keiner würd den Zeitpunkt kennen wann's vielleicht passiert oder vielleicht sogar überhaupt ned mitbekommen das es passiert ist und man kann sich ja einigermaßen vor sowas schützen
            Ihr habt ein Torturial durchgearbeitet, das auf den mysql_-Funktionen aufbaut?
            Schön - etwas Geschichte kann ja nicht schaden.
            Aber jetzt seht euch bitte php.net/pdo oder php.net/mysqli bevor ihr beginnt!

            Kommentar


            • #7
              Guten Morgen

              Danke für die guten Anworten. Hab ich das richtig verstanden, daß die htaccess Konfigdatei der admin des webservers konfiguriert,
              und man sozusagen nur hoffen kann,daß er das richtig gemacht hat.... nicht so wie in quetschies Fall.

              Kommentar


              • #8
                Hallo,

                leg' doch das Zugriffsskript mit den sensitiven Daten einfach außerhalb des frei zugänglichen Webbereiches, falls dies bei Dir möglich ist!

                Grüße,
                Bernhard

                Kommentar


                • #9
                  Der Provider bestimmt, ob htaccess zur Verfügung steht. Kannst aber davon ausgehen, dass es überall aktiviert ist.
                  Du selbst bestimmst den Inhalt deiner .htaccess-Dateien und lädst sie genauso hoch wie PHP-Scripte oder HTML-Dateien. Ob ein Verzeichnis also htaccess-gesichert ist, bestimmst du selbst.

                  Mehr dazu: http://de.selfhtml.org/servercgi/server/htaccess.htm oder bei Google.
                  Offizielle Doku: http://httpd.apache.org/docs/2.0/howto/htaccess.html

                  Kommentar


                  • #10
                    Original geschrieben von kasIQ
                    Guten Morgen

                    Danke für die guten Anworten. Hab ich das richtig verstanden, daß die htaccess Konfigdatei der admin des webservers konfiguriert,
                    und man sozusagen nur hoffen kann,daß er das richtig gemacht hat.... nicht so wie in quetschies Fall.
                    In meinem Fall dürft was mit dem Apachen oder mit PHP selbst schiefgelaufen sein.
                    Ihr habt ein Torturial durchgearbeitet, das auf den mysql_-Funktionen aufbaut?
                    Schön - etwas Geschichte kann ja nicht schaden.
                    Aber jetzt seht euch bitte php.net/pdo oder php.net/mysqli bevor ihr beginnt!

                    Kommentar


                    • #11
                      OffTopic:
                      Original geschrieben von Quetschi
                      In meinem Fall dürft was mit dem Apachen oder mit PHP selbst schiefgelaufen sein.
                      vielleicht hat auch einfach nur ein "Systemadministrator" das System "gewartet"

                      Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!

                      bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
                      Wie man Fragen richtig stellt

                      Kommentar


                      • #12
                        tolle Wartung war das dann - zog sich über Wochen so hinweg. Support konnte das natürlich nie nachvollziehen -> müsste wohl an meinem Script liegen

                        Oder hast du gewartet im Sinne von warten auf einen Bus gemeint
                        Zuletzt geändert von Quetschi; 05.08.2005, 01:03.
                        Ihr habt ein Torturial durchgearbeitet, das auf den mysql_-Funktionen aufbaut?
                        Schön - etwas Geschichte kann ja nicht schaden.
                        Aber jetzt seht euch bitte php.net/pdo oder php.net/mysqli bevor ihr beginnt!

                        Kommentar


                        • #13
                          @Quetschi postest du immer das gleiche nach 10 minuten nochmal?
                          Für alle die Fehler suchen, gibts gratis tolle Debuggingmöglichkeiten:
                          var_dump(), print_r(), debug_backtrace und echo.
                          Außerdem gibt es für unsere Neueinsteiger ein hervorragendes PHP Tutorial zu PHP 4 und PHP 5 (OOP)
                          Es heißt $array['index'] und nicht $array[index]! Und nein, das ist nicht egal!
                          Dieses Thema lesen, um Ärger im Forum und verzögerte Hilfen zu vermeiden.

                          Kommentar


                          • #14
                            Original geschrieben von Quetschi
                            tolle Wartung war das dann - zog sich über Wochen so hinweg. Support konnte das natürlich nie nachvollziehen -> müsste wohl an meinem Script liegen

                            Oder hast du gewartet im Sinne von warten auf einen Bus gemeint
                            anderer Vorschlag, der Administrator kennt dich, hat sich mit dem Support gegen dich und deinen Account verschworen

                            Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!

                            bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
                            Wie man Fragen richtig stellt

                            Kommentar


                            • #15
                              @Shurakai
                              nö, mach nur heute ne Ausnahme
                              war wohl auf dem Zurückbutton und hab aus Versehen nochmal das Form abgeschickt - hab inzwischen editiert.

                              @ghostgambler
                              so in etwa - und dann haben Support und Admin mich "warten" lassen
                              Ihr habt ein Torturial durchgearbeitet, das auf den mysql_-Funktionen aufbaut?
                              Schön - etwas Geschichte kann ja nicht schaden.
                              Aber jetzt seht euch bitte php.net/pdo oder php.net/mysqli bevor ihr beginnt!

                              Kommentar

                              Lädt...
                              X