Zum Inhalt springen

PHP: mysql_connect ohne das Passwort zu verraten

progmaker
 Teilen

Empfohlene Beiträge

progmaker

progmaker

Geschrieben
Geschrieben

Hallo,

ich habe nur eine DB mit der ich verschiedene User verwalten will. Hab eine Tabelle mit Feldern UserName und Passwort. Um zu überprüfen, ob der User richtige Daten eingegeben hat, muss ich mich erstmal mit dem MySQL-Server verbinden. Dafür muss ich dann meine Daten in das php-Skript reinschreiben, also mysql_connect(Addr, User, Passw).

Ich such eine sicherere Möglichkeit, das Gleiche zu tun. Das Passwort vielleicht in einer Datei auslagern oder ähnliches. Wer hat sowas schon mal realisiert und kann mir Tipps geben?

Link zu diesem Kommentar
Auf anderen Seiten teilen
jomama

jomama

Geschrieben
Geschrieben

Wenn du keinem FTP-Zugriff auf dein Verzeichnis gibst, dann ist das sicher. An den Browser wird kein PHP-Code übertragen sondern der daraus gebastelte HTML-Code. Der eintzige, dem du dabei dein Passwort verrätst, ist der Server. U nd wenn du es dem nicht sagst, lässt er dich auch nicht rein.:mod:

Link zu diesem Kommentar
Auf anderen Seiten teilen
progmaker

progmaker

Geschrieben
  • Autor
Geschrieben
Originally posted by jomama

Wenn du keinem FTP-Zugriff auf dein Verzeichnis gibst, dann ist das sicher. An den Browser wird kein PHP-Code übertragen sondern der daraus gebastelte HTML-Code. Der eintzige, dem du dabei dein Passwort verrätst, ist der Server. U nd wenn du es dem nicht sagst, lässt er dich auch nicht rein.:mod:

Aber an das php-Skript kann man doch bestimmt mit irgendwelchen Tools irgendwie ran.

Link zu diesem Kommentar
Auf anderen Seiten teilen
Jaraz

Jaraz

Geschrieben
Geschrieben
Originally posted by Executioner

Also, kann ich (fast) ohne Bedenken mein Passwort im php_Skript verwenden?

Wenn das so ist, dann danke ich euch recht herzlich...

Liesst du oder auch die anderen die hier geantwortet haben auch Links die man zu einer Frage postet?

Die schlechteste Lösung besteht darin, diese Include-Datein mit der Endung .php im normalen Dokumentenbaum zu hinterlegen und darauf zu vertrauen, dass Dateien mit dieser Endung immer geparsed werden. Während dies im Normalbetrieb immer der Fall ist, braucht der Webserver nur einmal ohne PHP-Modul gestartet zu werden und die Datei wird im Klartext ausgeliefert.

Dasselbe geschieht dann natürlich auch mit deinem Skript und nicht nur mit "includierten Dateien" .

Gruß Jaraz

Link zu diesem Kommentar
Auf anderen Seiten teilen
progmaker

progmaker

Geschrieben
  • Autor
Geschrieben
Originally posted by Jaraz

Dasselbe geschieht dann natürlich auch mit deinem Skript und nicht nur mit "includierten Dateien" .

Gruß Jaraz

Wie sollen denn die includierten Dateien ausgeführt werden, wenn kein PHP läuft? Dann steht im Code bzw. im Browser z.B. include "login.php" oder hab ich Unrecht?

Link zu diesem Kommentar
Auf anderen Seiten teilen
Jaraz

Jaraz

Geschrieben
Geschrieben
Originally posted by Executioner

Wie sollen denn die includierten Dateien ausgeführt werden, wenn kein PHP läuft? Dann steht im Code bzw. im Browser z.B. include "login.php" oder hab ich Unrecht?

Ja, aber wenn du das dann siehst und die Datei im Dokument Root liegt, kannst du einfach in die Browserzeile die include Datei angeben und er zeigt dir dann schön das Passwort an.

Und zu der Frage wann das ganze mal passiert, kann ich eigentlich nur mit dem Kopf schütteln. :rolleyes:

Wenn du natürlich nur dein privates Gästebuch verwaltest, kannst wegen meiner auch dein Passwort als Überschrift nehmen. ;) Bei Firmendaten kann man gar nicht paranoid genug sein. "Alles was schief gehen kann, geht irgendwann schief." Und erkläre dann mal deinem Chef warum er beim Aufruf der Seite das Passwort im Klartext sieht."

Gruß Jaraz

Link zu diesem Kommentar
Auf anderen Seiten teilen
geloescht_JesterDay

geloescht_JesterDay

Geschrieben
Geschrieben
Originally posted by Executioner

Wie sollen denn die includierten Dateien ausgeführt werden, wenn kein PHP läuft? Dann steht im Code bzw. im Browser z.B. include "login.php" oder hab ich Unrecht?

Nein, du hast nicht unrecht IMHO.

Meine PHP-Config-Dateien liegen z.B. im Apache config Ordner (bzw. ein Unterordner davon) - da kommt bestimmt kein Surfer hin ;) (kommt aber auch darauf an, auf welche Ordner man selbst Zugriff hat)

Wenn der Server ohne PHP gestartet ist bzw. PHP einfach nicht funktioniert kann ja auch der include nicht ausgeführt werden und es ist nur die include Anweisung zu sehen.

Link zu diesem Kommentar
Auf anderen Seiten teilen
progmaker

progmaker

Geschrieben
  • Autor
Geschrieben
Originally posted by JesterDay

Nein, du hast nicht unrecht IMHO.

Meine PHP-Config-Dateien liegen z.B. im Apache config Ordner (bzw. ein Unterordner davon) - da kommt bestimmt kein Surfer hin ;) (kommt aber auch darauf an, auf welche Ordner man selbst Zugriff hat)

Wenn der Server ohne PHP gestartet ist bzw. PHP einfach nicht funktioniert kann ja auch der include nicht ausgeführt werden und es ist nur die include Anweisung zu sehen.

Dann hast du bestimmt einen eigenen Server laufen oder? Welche Provider gibt einem schon Zugriffrechte auf den Apache Config Ordner?

Link zu diesem Kommentar
Auf anderen Seiten teilen
jomama

jomama

Geschrieben
Geschrieben
Originally posted by JesterDay

Nein, du hast nicht unrecht IMHO.

Meine PHP-Config-Dateien liegen z.B. im Apache config Ordner (bzw. ein Unterordner davon) - da kommt bestimmt kein Surfer hin ;) (kommt aber auch darauf an, auf welche Ordner man selbst Zugriff hat)

Wenn der Server ohne PHP gestartet ist bzw. PHP einfach nicht funktioniert kann ja auch der include nicht ausgeführt werden und es ist nur die include Anweisung zu sehen.

Ein einigermassen intelligenter Mensch kann dann darauf schliessen, wo das Dokument liegt und sich das Teil dann in Klartext auswählen. Sovial dazu.

Link zu diesem Kommentar
Auf anderen Seiten teilen
Jaraz

Jaraz

Geschrieben
Geschrieben
Originally posted by Executioner

Dann hast du bestimmt einen eigenen Server laufen oder? Welche Provider gibt einem schon Zugriffrechte auf den Apache Config Ordner?

Ein anständiger Provider hat aber als Document Root Verzeichnis ein Unterverzeichnis deines Webspaces.

Beispiel:


/webspace

  /www           //nur auf dieses Verzeichnis kann über http zugegriffen werden

     index.php

  /conf

     config.php //hier steht dein Passwort

In index.php "includest" du config.php.

Fällt nun der Parser aus, kann der Benutzer den Quelltext von index.php sehen. Da config.php aber außerhalb des document root liegt, kann per Browser nicht die Datei config.php gelesen werden.

Gruß Jaraz

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...