php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > SQL / Datenbanken
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


SQL / Datenbanken Probleme mit SQL? Hier könnt ihr eure Fragen zu SQL (MySQL, PostgreSQL, MS-SQL und andere ANSI-SQL Server) los werden.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 30-06-2003, 12:05
RasiHasi
 Newbie
Links : Onlinestatus : RasiHasi ist offline
Registriert seit: Apr 2002
Beiträge: 3
RasiHasi ist zur Zeit noch ein unbeschriebenes Blatt
Question SQL-Zugangsdaten verschlüsseln

Moin,

eine Frage, die mich schon länger verfolgt:

Wie vermeide ich, daß sich jemand mit den Zugangsdaten, die für meine PHP-Scripte verwendet werden, an der Datenbank zu schaffen macht?

Ich habe einen Mitglieder-Bereich für unsere Vereins-Homepage programmiert und die Schreib/Lese-Zugriffe auf die SQL-Datenbank erfolgen immer mit dem gleichen User.

Im PHP-Script werden ja die Zugangsdaten wie im Beispiel angegeben:

---- schnipp ---------------------------------------
$database= "dbname";
$table= "member";
$sqlhost= "localhost";
$sqluser= "username";
$sqlpass= "password";

mysql_connect($sqlhost,$sqluser,$sqlpass) OR DIE("Couldn't connect to MySQL server!");
mysql_select_db($database) OR DIE("Couldn't select database!");

bla bla bla
------- schnapp -----------------------------------

Wer nun die PHP-Datei ausliest, kann sich ja dann mit MySQLAdmin fröhlich an der Datenbank zu schaffen machen, oder habe ich einen Denkfehler?

Wie vermeidet man diese Lücke?
Nutzt es was, die Zugangsdaten in eine extra Datei zu packen (die im
eigentlichen Script included wird) und diese dann per .htaccess zu schützen? Kann dann das ausführende Script noch auf die Include-Datei zugreifen?

Ich habe schon im IN und im Forum gesucht, konnte aber nichts finden.
Ein dickes "Sorry" im Voraus, wenn ich einen Thread übersehen haben sollte, der das Thema behandelt.

Danke und Grüßle,

Rasihasi
Mit Zitat antworten
  #2 (permalink)  
Alt 30-06-2003, 12:14
goth
  Moderator
Links : Onlinestatus : goth ist offline
Registriert seit: Mar 2002
Ort: Erde
Beiträge: 7.272
goth ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Wenn die Daten die Erweiterung .php hat wird von extern wohl kaum jemand darauf zugreifen können bzw. diese auslesen können ... handelt es sich bei dem Zugreifenden um einen "Internen" Benutzer, der über das Filesystem auf die Datei zugreifen darf, so hilft Dir auch keine .htaccess.

Du kannst Die Zugangsdaten natürlich auch über ein reversibles Verschlüsselungsverfahren verschlüsseln und dann von der Übergabe an die Datenbank wieder entschlüsseln jedoch wäre auch dieses für einen "Internen" Benutzer durchschau- und nachvollziehbar.

Ich persönlich halte es immer für besser Sicherheitsrelevante Daten in einem Bereich oberhalb des Webroots zu platzieren und von dort zu includen um sich vor einem fehlerhaften Interpreter zu schützen. Aber auch das hilft natürlich nur gegen einen externen Zugriff.
__________________
carpe noctem

Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht!
Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung!
Mit Zitat antworten
  #3 (permalink)  
Alt 30-06-2003, 12:15
graf
 Senior Member
Links : Onlinestatus : graf ist offline
Registriert seit: Mar 2003
Ort: Hamburg
Beiträge: 529
graf ist zur Zeit noch ein unbeschriebenes Blatt
Standard

versuch du doch erstmal die daten auszulesen
Mit Zitat antworten
  #4 (permalink)  
Alt 30-06-2003, 14:03
RasiHasi
 Newbie
Links : Onlinestatus : RasiHasi ist offline
Registriert seit: Apr 2002
Beiträge: 3
RasiHasi ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hi,

wenn der Name der Include-Datei bekannt ist, gebe ich die komplette URL
im Browser ein und er zeigt mir ganz brav den Inhalt dieser Datei im Klartext an. Auslesen ist also nicht das Problem.

Sobald ich eine HTML-Datei habe, in der mittels PHP Datenbankzugriffe
getätigt werden, kann ich diese ja im Klartext lesen und habe dann auch den Name der Include-Datei.

Mit Web-Spider und IntelliTamper ist es mir nicht gelungen, die Test-PHP-Datei zu laden, aber wer weiß denn, was es noch an Tools gibt, die es vielleicht doch können.

Wenn ich das alles zusammenfasse, ist es notwendig alle Seiten, auf denen ein DB-Zugriff erfolgt, in PHP zu schreiben und die Include-Datei außerhalb des WebRoot zu lagern, oder?

Danke und Grüßle,

Rasihasi
Mit Zitat antworten
  #5 (permalink)  
Alt 30-06-2003, 14:45
goth
  Moderator
Links : Onlinestatus : goth ist offline
Registriert seit: Mar 2002
Ort: Erde
Beiträge: 7.272
goth ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von RasiHasi
wenn der Name der Include-Datei bekannt ist, gebe ich die komplette URL
im Browser ein und er zeigt mir ganz brav den Inhalt dieser Datei im Klartext an. Auslesen ist also nicht das Problem.
Deshalb schrieb ich "Wenn die Daten die Erweiterung .php" und jeder kluge PHP-Coder hält sich auch an das Prinzip ... eine Datei deren Extension mit dem PHP - Handler verbunden ist wir immer geparsed ... und somit nicht einfach so ausgegeben ...
Zitat:
Original geschrieben von RasiHasi
Mit Web-Spider und IntelliTamper ist es mir nicht gelungen, die Test-PHP-Datei zu laden, aber wer weiß denn, was es noch an Tools gibt, die es vielleicht doch können.
Auch diese Tools können nur auslesen was Ihnen der Webserver liefert ... und der läßt's halt durch den Parser laufen ...
Zitat:
Original geschrieben von RasiHasi
Wenn ich das alles zusammenfasse, ist es notwendig alle Seiten, auf denen ein DB-Zugriff erfolgt, in PHP zu schreiben und die Include-Datei außerhalb des WebRoot zu lagern, oder?
Oder die Include-Datei einfach mit einer .php-Extention zu versehen (z.B.: config.inc.php) ... aber ich erwähnte das glaube ich schon ...
__________________
carpe noctem

Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht!
Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung!
Mit Zitat antworten
  #6 (permalink)  
Alt 30-06-2003, 14:49
RasiHasi
 Newbie
Links : Onlinestatus : RasiHasi ist offline
Registriert seit: Apr 2002
Beiträge: 3
RasiHasi ist zur Zeit noch ein unbeschriebenes Blatt
Smile

alles klaro und vielen Dank nochmal für die erleuchtenden Zeilen !!!

RasiHasi
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

Die RIGID-FLEX-Technologie
Die RIGID-FLEX-TechnologieDie sogenannte "Flexible Elektronik" , oftmals auch als "Flexible Schaltungen" bezeichnet, ist eine zeitgemäße Technologie zum Montieren von elektronischen Schaltungen.

06.12.2018 | Berni

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni


 

Aktuelle PHP Scripte

HeidiSQL - kostenloses MySQL front-end Editor für Windows ansehen HeidiSQL - kostenloses MySQL front-end Editor für Windows

HeidiSQL - ist ein Windows-Editor für die bekannt open Source Datenbank mySQL

10.12.2018 Berni | Kategorie: MYSQL/ Management
piwik Open-Source Webanalyse-Software ansehen piwik Open-Source Webanalyse-Software

piwik ist eine gute Alternative zu Google Analytics. Viele Features und ein modernes Erscheinungsbild mit aussagefähigen Statistiken in Echtzeit

10.12.2018 phpler | Kategorie: PHP/ Besucherzaehler
jQuery Mobile ansehen jQuery Mobile

Touch-Optimized Web Framework für Smartphones & Tablets

09.12.2018 phpler | Kategorie: AJAX/ Framework
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 18:33 Uhr.