Pytanie dotyczące bezpieczeństwa..., ..pewnych danych Opcje

[Lars]

mam skrypt, który przechowuje informacje:

conf.php

[PHP] pobierz, plaintext 
<?php
$login=&#092;"Lars\";
$hasło=&#092;"bardzotajnehasło\";
?>
[PHP] pobierz, plaintext 

czy gdy wywołam taki skrypt:

zdobadz.php

[PHP] pobierz, plaintext 
<?php
include(&#092;"http://www.moj.serwer.pl/conf.php\");
echo $login;
echo &#092;"n\".$haslo;
?>
[PHP] pobierz, plaintext 

to pokażą sie te dane??

[gu35t]

hmm. a tak trudno sprawdzic?

[id4]

Witaj

I TAK i NIE.

Jeśli wywołasz to plikiem który jest pod tym samym adresem (kontem) co plik conf.php, to oczywiście, że się pokaże. Jeśli natomiast plik wywołujący znajduje się na innym koncie, to nie ma takiej możliwości by te dane podejrzeć. To przecież byłoby nie do przyjęcia (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[crash]

Nie da się.

[NuLL]

Na twoim własnym serwerze za działa - natomiast includacja plików z zewn. sererow jest niemozliwa.

[Lars]

chodziło mi o includowanie z 2 różnych serwerów

dzięki (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

[dag]

Na twoim własnym serwerze za działa - natomiast includacja plików z zewn. sererow jest niemozliwa.

A to nie zależy od ustawień serwera? Coś mi świta, że chyba jednak tak...choć nie jestem pewny.

[yavaho]

Gdy przechowujemy hasla to nigdy nie mozna miec zaufania w 100% co do super zabezpieczen itp. Skad wiemy jak zabezpieczony jest serwer na ktorym lezy nasze haslo? albo np gdzie przechowywany jest backup tej strony zrobiony przez admina? Jacy ludzie maja dostep do podgladu naszych plikow na serwerze?

Takie rzeczy nalezy zachaszowac albo przynajmnije zakodowac.
md5" title="Zobacz w manualu PHP" target="_manual

[PHP] pobierz, plaintext 
<?php
$login=&#092;"194d0e546256a68cd16233038190aaef\"; //Lars
$hasło=&#092;"7eb864361e80f7e84a97096d59cf91e7\"; //bardzotajnehasło
?>
[PHP] pobierz, plaintext 

[Kinool]

@yavaho no ok a jak wprowadzisz taki login i haslo do polaczenia z baza danych?? dasz hashe md5? to wywali blad! (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[yavaho]

@yavaho no ok a jak wprowadzisz taki login i haslo do polaczenia z baza danych?? dasz hashe md5? to wywali blad! (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Akurat te hasla i login otrzymuje sie sie od administratora serwera, jezeli nie ma mozliwosci ich zmiany u administratora na ciag zachaszowany, to zawsze mozna sie postarac aby przechowywane hasla w plikach byly zakodowane i podczas porownania odkodowywane.

[Kinool]

no ok ale skoro ty mozesz je zakodowac to ktos moze je odkodowac (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) miecz ma dwa ostrza (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

skoro ktos ma dostep do plikow z haslami to m tez do innych, wiec moze zobaczyc jakich "funkcji" uzyles do kodowania i zrobi proces odwrotny!

i co ci z tego?? jedynie kilka minu wiecej (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)


co do zablokowania: skoro php (apache) ma upawnienie do ich odczytu to inny user tego servera tez ma (tzn moza to zminic w konfiguracji, ale to juz inna historia) prawda jest taka ze nigdy nie masz i nie ebdziesz mial 100% pewnosci, no chya ze na serverze konto masz tylko ty a serwver nie jest wpiety do netu (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Ten post edytował Kinool 4.07.2005, 09:55:19

[NuLL]

@dag - można to zrobić aby dało się includować z zewn. ale nie spotkałem się jak dotąd z czymś takim.

[Bielo]

Wydaje mi się, że niemżliwe jest includowanie zewnętrzne przez HTTP, da się pewnie przez FTP. Przy wywołaniu pliku przez HTTP apache przecież parsuje plik. Można spokojnie includować plik z zewnętrznego serwera, ale tylko wtedy gdy nie jest on przeparsowywany. tym co dostaje include jest plik w takiej postaci w jakiej wysyła go serwer/system plików.