SQL-Daten sicher einbinden

[stvn]

Moin.

Ich wollte mal fragen, ob das eigentlich unsicher is, wenn ich nur 'ne config.php hab, die ich "überall" einbinde und in der ich die Verbindungsdaten für die Datenbank hinterlege? :)

config.php

<?php
	// Datenbank + Zugangsdaten festlegen
	$db = mysql_connect('localhost','benutzer','passwort');
	mysql_select_db('datenbank');

	// Datenbankdaten überprüfen
	if (!$db) {
		die('Verbindung nicht möglich : ' . mysql_error());
	}
?>

Wenn der Code generell bescheiden ist, dann bitte ich auch um Hinweise, Tipps etc. :)

Danke!
stvn

 

[Cheffchen]

Hallo,
die frage kommt letzte zeit relativ oft :O).
nee, ist nicht schlimm und brauchst auch nicht verschlüsseln oder so :O).

Cheffchen

 

[stvn]

Sorry, dass ich ich so blöd frage, aber war das jetzt ironisch oder ernst gemeint?

 

[Cheffchen]

Hallo,

is ok.

brauchst nichts ändern ist ok so.
ach doch, könntest die die() abfrage glaube gleich beim connect machen (einkürzen)

<?php 
    // Datenbank + Zugangsdaten festlegen 
    $db = mysql_connect('localhost','benutzer','passwort') or die('Verbindung nicht möglich : ' . mysql_error());
    mysql_select_db('datenbank');  
?>

Cheffchen

 

[crash]

Die Einstellungen zur Fehlerbehandlung sollte auf dem Produktivsystem sollten richtig eingestellt sein (display_errors = off), damit im Stacktrace die Verbindungsdaten nicht auftauchen.

Ansonsten ist es auch möglich die Daten aus der httpd.conf durchzureichen:

SetEnv MYSQL_USERNAME root
SetEnv MYSQL_PASSWORD root
SetEnv MYSQL_DBNAME test
SetEnv MYSQL_HOSTNAME localhost
SetEnv MYSQL_PORT 3306

<?php
$myDb = new PDO(
     sprintf(
        'mysql:host=%s;port=%d;dbname=%s',
        getenv('MYSQL_HOSTNAME'),
        getenv('MYSQL_PORT'),
        getenv('MYSQL_DBNAME')
    ),
    getenv('MYSQL_USERNAME'),
    getenv('MYSQL_PASSWORD')
);

Oder auch in der php.ini (mit Hilfe von [PATH=]/[HOST=]) oder httpd.conf mysql.default_port, mysql.default_socket, mysql.default_host usw. festlegen. Wobei hier PDO-MySQL diese Daten nicht automatisch frisst (man muss sie mit ini_set() durchreichen); MySQLi hingeben schon.

 

[Anusha]

Meiner Meinung nach empfiehlt es sich generell auch nicht
mysql_error();
auszugeben.

Muss doch der Benutzer nicht wissen, was nicht ging ;)

 

[NetAktiv]

Muss doch der Benutzer nicht wissen, was nicht ging

Man sollte ihm aber zumindest sagen, dass nicht alles so lief, wie gewünscht und dann die technischen Details in eine Log-Datei schreiben, die man auch regelmäßig kontrolliert.

 

[Seyonne]

Ich schätze die meisten SQL Errors sind 'Couldn't connect to database' da die Abfragen zuvor eh mit PHP gecheckt werden.

Error Logs sind je nach Projekt natürlich unabdingbar.