Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
 Reply to this topicStart new topic
> [MySQL][PHP] bezpieczeństwo przechowywania danych logowania do bazy
emanuel
post
Post #1





Grupa: Zarejestrowani
Postów: 25
Pomógł: 0
Dołączył: 29.06.2008

Ostrzeżenie: (0%)
-----

W różnych skryptach i przykładach wzorcowych widziałem trzy metody zapisu danych do logowania połączenia z bazą danych.
Pierwszą jest zdefiniowanie zmiennych

[PHP] pobierz, plaintext 
  1. $db_host = 'dbhostname';
  2. $db_user = ' nazwa_uzytkownika_bazy_danych;
  3. $db_pass = ' haslo_uzytkownika_bazy_danych ';
  4. $db_base = '147570_437';
[PHP] pobierz, plaintext


Drugą jest zdefiniowanie stałych

[PHP] pobierz, plaintext 
  1. DEFINE('DBHOST','sql.serwer.nazwa.pl');  // --- serwer baz danych
  2. DEFINE('DBUSER','atl');	// --- konto użytkownika bazy danych
  3. DEFINE('DBPASS','2009');	// --- hasło do bazy
  4. DEFINE('DBNAME','atl');	// --- nazwa bazy danych
[PHP] pobierz, plaintext


Trzecią jest zdefiniowanie elementów tablicy
[PHP] pobierz, plaintext 
  1. $db_dane["hostname"] = "twoj_serwer_sql";
  2. $db_dane["user"] = "nazwa_uzytkownika_bazy_danych";
  3. $db_dane["password"] = "haslo_uzytkownika_bazy_danych";
  4. $db_dane["db"] = "twoja_baza_danych"; 
[PHP] pobierz, plaintext



Interesuje mnie bezpieczeństwo tych danych. Bezpieczeństwo rozumiane jako
- podmiana zdefiniowanych danych
- wykradzenie danych ze skryptu lub transmisji, a skutkiem tego przejęcie uprawnień do bazy.

Zasadniczo są trzy rodzaje baz:
- bazy z połączeniami typu localhost
- bazy z akceptacją połączeń tylko wewnątrz zespołu serwerowi (można zrealizować połączenie z innego konta hostingu[sql][/sql]).
- bazy z możliwością połączeń zewnętrznych poprzez adres publiczny.

Oczywistym jest że zdefiniowanie stałych zabezpiecza dokonaniu podmiany danych.
Jest jednak problem z wykradzeniem danych.
Czy są jeszcze jakieś inne propozycje bezpiecznego przechowania danych chroniących wrogie przejęcie?
Go to the top of the page
+Quote Post
tab
post
Post #2





Grupa: Zarejestrowani
Postów: 75
Pomógł: 20
Dołączył: 8.10.2012

Ostrzeżenie: (0%)
-----

Jesli chodzi o mozliwosc odczytania danych to wszystkie sa tak samo na to narazone. Przy uzyciu stałych faktycznie nikt nie podmieni parametrów do bazy pytanie tylko po co ktos miałby to robić. Gdzies czytalem ze najbezpieczniejszym sposobem przechowywania danych do logowania do bazy jest trzymanie ich w plikach o niskich uprawieniach. Wtedy jesli skrypt sie posypie i wyswietli zawartosc to atakujacy nie zobaczy danych w przeciwienstwie do sytuacji kiedy byłyby zapisane w zmiennych

Ten post edytował tab 1.12.2012, 21:46:16
Go to the top of the page
+Quote Post
patrycjaBS
post
Post #3





Grupa: Zarejestrowani
Postów: 14
Pomógł: 0
Dołączył: 25.11.2012
Skąd: Pszczyna

Ostrzeżenie: (0%)
-----

Tak jak napisał @tab wszystkie sposoby są identyczne pod względem bezpieczeństwa. Możesz jeszcze pliki konfiguracyjne trzymać poza katalogiem serwera www (czyli np. jeden katalog wyżej niż htdocs w Apache).
Go to the top of the page
+Quote Post
« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 25.08.2025 - 04:07
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn