Datenbank-Zugangs-Daten verbergen

[Tomm]

Hallo,

ich habe in der Datei zugang.php meine Zugangsdaten für die Datenbank geschrieben, damit ich nicht jedesmal die Daten neu eingeben muß

<?
....................
$host = "test";
  $user = "test";                               
  $pass = ".....";  
...............
?>

Problem ist, jeder kann die Datei einsehen, wenn er den Namen der Datei kennt, und kennt dann die Zugangsdaten
Was kann man dagegen tun ???
Gruß
Tomm

 

[XraYSoLo]

die datei passwort schützen.

Nils aka XraYSoLo

 

[Tomm]

die datei passwort schützen.

Nils aka XraYSoLo

Wie geht das ???

 

[XraYSoLo]

--> Let me google that for you

außerdem kann man die datei, wie sie oben steht NICHT einsehen, da programmcode vorab geparsed wird.

Nils aka XraYSoLo

 

[Tomm]

Okay, ich google

Aber noch eine Frage

Wenn ich so nen Passwortschutz für diese Datei habe, muß ich dann jedesmal , wenn etwas in die Datenbank geschrieben oder gelesen wird, ein Passwort eingeben ??

 

[XraYSoLo]

wenn dus dementsprechend programmierst, nicht.
schau' dir unter den tutorials das loginscript an, das sollte alles sagen.

Nils aka XraYSoLo

 

[Tomm]

Meinst du das hier ?

http://www.html.de/tutorials/11487-php-login-mit-sessions.html

 

[XraYSoLo]

genau das.

Nils aka XraYSoLo

 

[Elroy]

Hallo.

Wie XraYSoLo schon geschrieben hat kann niemand die Daten einsehen, ausserdem sollst du ja auch nicht jedem den Namen der Datei nennen in der deine Zugangsdaten liegen.

Den ganzen Passwortschutz kannst du dir also ruhig sparen.

Gruss
Elroy

 

[sysop]

....Problem ist, jeder kann die Datei einsehen, wenn er den Namen der Datei kennt, und kennt dann die Zugangsdaten.....

wie macht man das ?
ich bin nun schon zig jahre im geschäft, kann das aber immer noch nicht :mrgreen:

lies doch mal die entsprechenden daten dieses forums aus und sag bescheid.

 

[Tomm]

wie macht man das ?
ich bin nun schon zig jahre im geschäft, kann das aber immer noch nicht :mrgreen:

lies doch mal die entsprechenden daten dieses forums aus und sag bescheid.

Also gut, wenn ihr meint, dann lass ich das mit dem Passwortschutz :mrgreen:

Ich dachte, wenn man den Namen der Datei (in diesem Fall www........./zugang.php) eingibt, dann sieht man die Zugangsdaten, konnte das aber nicht überprüfen , weil mein Projekt nicht online ist , nur mit XAMPP auf meinem Rechner

 

[thuemmy]

Auch wenn die Daten nicht eingesehen werden können (normalerweise) mache ich es immer so, dass das Verzeichniss, dass die include-Dateien enthält, per htaccess geschützt ist. Es kann ja vorkommen, dass der PHP-Parser aus irgendeinem Grund nicht funktioniert. Dann wird der PHP-Code ungeparsed an den Brwoser ausgeliefert. Das include ist dann sichtbar. Allerdings kann die Datei durch den htaccess-Schutz nicht direkt aufgerufen werden.

Gruß thuemmy

 

[mermshaus]

Die sicherste Möglichkeit ist es, die Quellcode-Dateien außerhalb des Docroot-Verzeichnisses zu speichern. Sie können so über den Browser (Edit: bzw. von außen) überhaupt nicht erreicht werden, PHP selbst kann auf dem Server über das Dateisystem jedoch problemlos darauf zugreifen.

 

[Elroy]

Also gut, wenn ihr meint, dann lass ich das mit dem Passwortschutz :mrgreen:

Ich dachte, wenn man den Namen der Datei (in diesem Fall www........./zugang.php) eingibt, dann sieht man die Zugangsdaten, konnte das aber nicht überprüfen , weil mein Projekt nicht online ist , nur mit XAMPP auf meinem Rechner

Hallo.

Dann überprüfe es doch mit XAMPP auf deinem Rechner.
Dazu ist XAMPP ja da, das man solche Sachen offline überprüfen kann bevor man sie ins Netz stellt

Gruss
Elroy

 

[struppi]

Ich dachte, wenn man den Namen der Datei (in diesem Fall www........./zugang.php) eingibt, dann sieht man die Zugangsdaten, konnte das aber nicht überprüfen , weil mein Projekt nicht online ist , nur mit XAMPP auf meinem Rechner

Wie dir schon gesagt wurde, genau dafür ist XAMPP da, dass du lokal bei dir prüfen kannst wie etwas online funktioniert. Ich würd aber an deiner Stelle gehörig aufpassen bevor du etwas online stellst. Da ich vermute, dass du auch noch nie von SQL Injections gehört hast.

 

[Tomm]

Wie dir schon gesagt wurde, genau dafür ist XAMPP da, dass du lokal bei dir prüfen kannst wie etwas online funktioniert. Ich würd aber an deiner Stelle gehörig aufpassen bevor du etwas online stellst. Da ich vermute, dass du auch noch nie von SQL Injections gehört hast.

Von Sql-Injections hab ich schon gehört, ich hab alles abgesichert, wie es hier beschrieben ist.

http://www.html.de/html-und-xhtml/28130-problem-mit-textausgabe.html

Mit XAMPP hab ich es getestet, und da konnte ich die Datei mit den Zugangsdaten öffnen, daher hab ich hier nochmal nachgefragt.
Wenn ich in XAMMP den Dateinamen in der Adressleiste eingeb , dann erscheint ein Dialogfenster " Möchten Sie diese Datei öffnen oder speichern?".
Wenn ich auf "öffnen" klick , dann seh ich die Zugangsdaten

Gruß
Tomm

 

[Tomm]

Die sicherste Möglichkeit ist es, die Quellcode-Dateien außerhalb des Docroot-Verzeichnisses zu speichern. Sie können so über den Browser (Edit: bzw. von außen) überhaupt nicht erreicht werden, PHP selbst kann auf dem Server über das Dateisystem jedoch problemlos darauf zugreifen.

Das hab ich nicht ganz verstanden
Erklär doch nochmal genauer wie das geht
Ein Unterverzeichnis anlegen ?

 

[mermshaus]

Eine Domain ist immer zu einem Verzeichnis auf einem Server gemappt (das Verzeichnis, in das du deine HTML-Dateien legst und die anderen Daten, die online abrufbar sein sollen).

Zum Beispiel: /www/htdocs/benutzername/example.org/

(Der passende Pfad steht in <?php echo $_SERVER["DOCUMENT_ROOT"]; ?>.)

Wird nun example.org/index.php im Browser aufgerufen, wird /www/htdocs/benutzername/example.org/index.php geparst und an den Browser geschickt.

In der index.php-Datei könntest du nun zum Beispiel schreiben:

<?php

include '../header.php';

Das heißt: Gehe im Dateisystem des Servers nach oben und binde header.php von dort ein. Der genau Dateiname würde also lauten:

/www/htdocs/benutzername/header.php

Da die Datei nicht mehr im Ordner /www/htdocs/benutzername/example.org/ liegt, ist sie von außerhalb nicht zu erreichen.

Ich weiß nicht, wie weit es bei Webspace-Anbietern verbreitet ist, ein Unterverzeichnis des Benutzeraccount-Verzeichnisses zum Document Root zu machen. Im Zweifel im FTP einfach mal versuchen, ein Verzeichnis nach oben zu wechseln.

(Etwas unausgegorene Erläuterung, ich bin auf dem Sprung. :))

 

[sysop]

ich bezweifle, dass man über das eigene verzeichnis hinaus ins systemverzeichnis wechseln darf, es sei denn, der server gehört einem selbst.

ich halte das alles ohnedies für viel zu übertrieben, hundert-tausende von web-usern nutzen ihre einstellungen in ihrem roots verzeichnis um sich zur sql-datenbank zu verbinden.

wenn du einen schutz haben möchtest, dann leg in das verzeichnis, wo die config datei liegt eine .htaccess datei, die einen zugriff von aussen unmöglich macht.

z.b.

AuthName "bla" 
AuthType basic 
AuthUserFile ich/du/er/sie/es
require valid-user

damit gibt es kein auth-file, man kann sich also nicht mal aus versehen den inhalt ansehen. per ftp hast du aber vollen zugriff. eine datei aus diesem verzeichnis aufrufen kannst du dann aber auch nicht.

Apache Tutorial: .htaccess files - Apache HTTP Server

 

[Tomm]

Ja, Danke

Das werde ich morgen mal ausprobieren

Man kann die Datei nicht mehr aufrufen, weil man den Pfad der Datei nicht in die Adressleiste bringt.
So hab ich das verstanden