MySQL Passwort verschlüsselt in Datei, wie connecten?

[P51D]

Hallo miteinander

Ich habe ein kleines Problem bei einer Überlegung: Wenn ich jetzt ein kleines Skript habe, dass mir aus diversen Tabllen in der MySQL Datenbank Werte herauslesen soll, und ich das Passwort für die MySQL Verbindung in einer Config Datei gespeichert habe, kann ich dies ja bequem herauslesen und gleich nutzen.
Das Passwort habe ich in der Datei, damit es später Änderbar ist. Nun möchte ich das Passwort verschlüssen, wozu ich md5 in Betracht ziehe. Wie kann ich jetzt eine Verbindung mit der Datenbank erstellen, da sich das Verschlüsselte Passwort ja nicht mehr so einlesen lässt?

Oder könnte/sollte man das anders lösen?
Besten Dank für die Hilfe
MFG
P51D

 

[Cheffchen]

Hallo,

also MD5 geht nur in eine richtung.
Ich habe eigentlich noch nie davon gehört das Passwort zu verschlüsseln, macht ja auch kaum sinn da dies ja ein variable ist und SQL das ja in klartext brauch und solang nicht auf deiner Homepage unten echo §DBpassword; machst kommt man ja auch nicht daran als user :O).

Cheffchen

 

[Degers]

Das wäre nun die Frage, wie glaubst du sollte, wenn kein Tippfehler passiert ist, eine Variable ausgelesen werden? Ich bezweifle diese Möglichkeit da sonst tausende Datenbanken von jedermann angezapft würden, aber bin offen für eine neue Info. *g

 

[T!P-TOP]

Du könntest das Passwort verschlüsselt in die Config eintragen. Bevor die Verbindung zur Datenbank aufgebaut wird, entschlüsselst Du das Passwort wieder. Md5 kannst du da aufjedenfall vergessen. Verwende halt Kryptologie, zB Caesar Verschlüsselung - kann man einfach nachprogrammieren - Du musst es ja dann lediglich zurück verschlüsseln. Den Code fürs Entschlüsseln tust du mit Blowfish wiederum verschlüsseln - den verschlüsselten Entschlüsselungs-Code entschlüsselst du dann und führst ihn mit eval() aus - das dürfte für die ein oder anderen Leute dann sicherlich ein Hinderniss darstellen.

 

[derMartin71]

Also eh man so rumhampelt, sollte man dann doch lieber die Daten in der DB verschlüsseln, meinetwegen auf mit blowfish (was natürlich bei vielen Anfragen auf die Performance drückt). Am besten legst Du das Config Script in einem Verzeichnis ab, auf das von aussen nicht zugegriffen werden kann. Die DB solltest Du dann so konfigurieren, dass sie nur Anfragen von einer bestimmten IP annimmt.

Gruß
/martin

 

[thuemmy]

Also ich mache folgendes, wenn ich mit MySQL arbeite. Der Verbindungsaufbau incl. Passwort kommt in eine PHP-Datei. Diese PHP-Datei in ein geschütztes Verzeichniss. In der PHP-Seite in der die DB-Verbindung aufgebaut wird, wird diese Datei includiert. Sollte, aus welchen Gründen auch immer, der PHP-Parser ausfallen, wird die Datei so oder so nicht includiert. Dann wird zwar der Name der Datei im Browser angezeigt, kann aber nicht aufgerufen werden, da das Verzeichnis, in dem die Datei steht, geschützt ist.