Passwort für Datenbank schützen

**mrhappiness** · 15.08.2005, 11:15

Re: Passwort für Datenbank schützen

Original geschrieben von arden
frage: wie kann ich aber die zugangsdaten zur datenbank besser schützen? so kann sie ja theoretisch jeder, der sich die include-datei anschaut, auslesen...

Und wer ist dieser jeder?

Ist die Datei über das Web erreichbar?
Nein: Gut

Ja: Nicht so gut

Ist die Datei in einen Ordner verschiebbar, der nicht über das Web erreicht werden kann?
Ja: Gut, mach das

Nein: Nicht so gut, lege in den Ordner eine .htaccess und verbiete jeglichen Zugriff; Mit PHP kannst du die Datei trotzdem noch auslesen, aber sonst kommt keiner dran, außer er hätte Zugriff auf den Server (aber dann hast du noch ganz andere Probleme)

**TobiaZ** · 15.08.2005, 11:15

Und wer außer dir sollte die Include-Datei deiner Meinung nach ansehen können?

**hhcm** · 15.08.2005, 12:05

Das würde mich auch mal interessieren.. Wenn du die datei nicht unbedingt dbdaten.inc nennst sondern wenigstens ein dbdaten.inc.php daraus machst wird das ding keiner lesen können .
Versuch doch mal den kompletten Pfad+Datei im Browser einzugeben und du wirst sehen das du nichts siehst.

**CH-King** · 15.08.2005, 13:42

was vermutlich auch hilft der datei ein # voransetzen, das macht dem include nix aus, aber der browser hat bei einer datei mit # vornedran sehr viel mühe

woran das liegt k.A. bzw. weiss ich es nicht genau, aber ich weiss dass er mühe damit hat, weil ich es selber schon getestet habe

**asp2php** · 15.08.2005, 13:46

Original geschrieben von CH-King
was vermutlich auch hilft der datei ein # voransetzen, das macht dem include nix aus, aber der browser hat bei einer datei mit # vornedran sehr viel mühe

woran das liegt k.A. bzw. weiss ich es nicht genau, aber ich weiss dass er mühe damit hat, weil ich es selber schon getestet habe

weil # einen Anker signalisiert, und der Browser daher versuchen wird, diesen Anker in seinem Dokument, welches er zu der Zeit nicht hat, zu finden.

**wahsaga** · 15.08.2005, 13:50

Original geschrieben von CH-King
was vermutlich auch hilft der datei ein # voransetzen, das macht dem include nix aus, aber der browser hat bei einer datei mit # vornedran sehr viel mühe

wie schon gesagt, das ist ein anker - und der existiert überhaupt nur clientseitig, wird per HTTP überhaupt nicht im request übermittelt.

aber wozu derart unsauber vorgehen?
gut, und bessere, möglichkeiten gibt es hier zuhauf - deinen vorschlag würde ich nur als absolute notlösung ansehen, wenn alle anderen nicht möglich sein sollten.

**arden** · 15.08.2005, 13:59

danke!

danke für eure tipps!

habe die datein in ein geschütztes verzeichnis geschoben - klappt (wusste nicht, dass php ohne passwort auf geschützte verzeichnisse zugreifen kann)

achja: die datei könnte sonst doch jeder "auslesen", der sich den quellcode der seite ansieht, die den include-aufruf beinhaltet und dann diesen pfad nachvollzieht - oder mach ich da einen denkfehler?

**onemorenerd** · 15.08.2005, 14:08

Aber der Quellcode deiner Scripte ist doch nur für dich (und Leute mit einem FTP- oder SSH-Zugang zu deinem Server) sichtbar. Der Rest der Welt kann nur via Browser zugreifen und bekommt nicht den Code sondern dessen Ausgabe.
Wenn dein Webserver nämlich richtig eingerichtet ist, wird er niemals den Inhalt einer .php-Datei (deswegen auch .inc.php statt .inc, s.o.) zum User schicken sondern diese dem PHP-Interpreter übergeben. Der rattert sie durch und alles was dabei mit echo & Co. ausgegeben wird, bekommt der Webserver zurückgereicht. Das ist in der Regel eine 'normale' Webseite und die kann dann gefahrlos an den User verschickt werden.
Ich hoffe es ist jetzt ein bißchen klarer.

Passwort für Datenbank schützen