 Hasło do bazy w pliku i jego zabezpieczenie |
| Hasło do bazy w pliku i jego zabezpieczenie |
| -Code46- |
Post
#1
|
|
Goście  |
Witajcie!
Kiedyś jak zaczynałem swoją przygodę z php usłyszałem od kogoś, że bardzo dobrym sposobem jest umieszczanie nazwy hosta, hasła do bazy i nazwy bazy w osobnym pliku. Ja stosuje [b]config.inc.php[\b]. W windowsie raczej są skromne metody na zabezpieczenie takiego pliku. Ale jeśli serwer będzie na linuksie, to gdzie ten plik umieścić, jakie prawa mu nadać, żeby w przypadku włamania na serwer, intruz nie dostał się do hasła? |
 |
 
|
 |
|
Post
#2
|
|
 Grupa: Zarejestrowani Postów: 120 Pomógł: 1 Dołączył: 11.04.2005 Skąd: Poznań Ostrzeżenie: (0%) 
|
Jeśli sie nie myle to prawa na linuxie muszą być 644. Niestety pliki muszą mieć prawo odczytu dla wszystkich wiec nic nie możesz zrobić prawami dostępu. Ale jeżeli plik ma rozszerzenie .php to jesli "hacker" bedzie próbował podejrzeć plik np porzez www.costam.pl/config.inc.php to zobaczy pusty dokument chyba że w dokumencie jest jakies echo lub print.
Takie mi sie zdaje lecz moge się mylić. 
|
|
|
|
|
Post
#3
|
|
 Grupa: Przyjaciele php.pl Postów: 2 923 Pomógł: 9 Dołączył: 25.10.2004 Skąd: Rzeszów - studia / Warszawa - praca Ostrzeżenie: (0%)
|
Dodam tylko ze plik ten powinien byc umieszczony w katalogu nadpublicznym
-------------------- |
|
|
|
| -Guest- |
Post
#4
|
|
Goście |
Cytat(SongoQ @ 2005-04-20 17:25:59) Dodam tylko ze plik ten powinien byc umieszczony w katalogu nadpublicznym Tzn jakim? Cytat Ale jeżeli plik ma rozszerzenie .php to jesli "hacker" bedzie próbował podejrzeć plik np porzez www.costam.pl/config.inc.php to zobaczy pusty dokument chyba że w dokumencie jest jakies echo lub print. A gdyby była chwilowa awaria serwera i parser php nie wykonywałby skryptów? To wtedy wyświetli zawartość plików php |
|
|
|
|
Post
#5
|
|
 Grupa: Zarejestrowani Postów: 1 086 Pomógł: 8 Dołączył: 10.12.2003 Ostrzeżenie: (0%)
|
Cytat(Guest @ 2005-04-20 18:57:50) Cytat(SongoQ @ 2005-04-20 17:25:59) Dodam tylko ze plik ten powinien byc umieszczony w katalogu nadpublicznym Tzn jakim? Takim, do którego nie ma dostępu przez www. Większość porządniejszych serwerów ma katalog "web" / "www" / "public" z którego są otwierane pliki przy wpisaniu adresu http://(...)/ natomiast katalog nadrzędny jest dostępny tylko przez ftp i dla skryptów. |
|
|
|
| -Code46- |
Post
#6
|
|
Goście |
A co z tym, że:
"A gdyby była chwilowa awaria serwera i parser php nie wykonywałby skryptów? To wtedy wyświetli zawartość plików php" |
|
|
|
|
Post
#7
|
|
|
Grupa: Zarejestrowani Postów: 120 Pomógł: 1 Dołączył: 11.04.2005 Skąd: Poznań Ostrzeżenie: (0%)
|
Cytat(Zajec @ 2005-04-20 19:16:12) Cytat(Guest @ 2005-04-20 18:57:50) Cytat(SongoQ @ 2005-04-20 17:25:59) Dodam tylko ze plik ten powinien byc umieszczony w katalogu nadpublicznym Tzn jakim? Takim, do którego nie ma dostępu przez www. Większość porządniejszych serwerów ma katalog "web" / "www" / "public" z którego są otwierane pliki przy wpisaniu adresu http://(...)/ natomiast katalog nadrzędny jest dostępny tylko przez ftp i dla skryptów. Wystarczy przeczytać co piszą inni
|
|
|
|
|
Post
#8
|
|
 Grupa: Zarejestrowani Postów: 260 Pomógł: 0 Dołączył: 18.07.2003 Skąd: Tarnów Ostrzeżenie: (0%)
|
prawda jest taka ze jesli ktos juz by sie wlamal na serwer to rownie dobrze moze sie wlamac do bazy. nie ma wiec sensu wszystko co tu piszecie
-------------------- Gentoo Linux 64bit / PHP 5.2 / MySQL 5.1
-> Administracja serwerami Linux i FreeBSD |
|
|
|
 |
|
Aktualny czas: 22.08.2025 - 06:06 |
