Forum PHP.pl

Witam.Chcialbym nie umieszczac w kodzie php hasla dostepu do bazy danych. Jak to uczynic? Probowalem tak:

[PHP] pobierz, plaintext 
<?php
$db = mysql_connect( 'localhost', 'feniksroot', sha1('b98f29fed4658e4bca011cb7bafa19c3ec49c5b9'), 'feniksbazawoiz' );
?>
[PHP] pobierz, plaintext 

ale nie laczy wtedy z baza (access denied) przy czym jest to

Jak rozwiazac ten problem? Pozdrawiam.

sha1 jest hashem. dziala w jedną stronę.
sha1(sha1('haslo')) != 'haslo'

Wydawalo mi sie, ze MySQL przechowywuje hasla user-ow zaszyfrowane za pomoca MySQL-owego SHA1()

Co byscie poradzili, zeby nie mozna bylo wyczaic jakie to jest haslo? Jesli utworze osobny plik w ktorym napisze funkcje laczaca z baza, to tez w zasadzie bedzie mozna go 'podejrzec'...

jesli hasla userow są przechowywane jako hash, to sprawdzenie czy podane haslo jest prawidlowe odbywa sie na zasadzie podanie hasla jawnego, shaszowania go i porownania z zapisanem hashem. Przy takiej procedurze podanie do weryfikacji hasha, zwroci nam bledną weryfikację

Plik z połączeniem do bazki, co za tym idzie i z haslami, trzymane są zazwyczaj na serwerze,gdzie osoba postronna nie powinna miec dojscia. jesli ktos ci sie wlamie na serwer, to i juz bez hasel bedzie mogl ci narozrabiac

Ja dodam tylko, ze mozna sobie hasla podawane jawnie w plikach zakodowac np. za pomoca base64. Ja tak robie. Czasem komus cos pokazuje w kodzie jak zrobilem (osobiscie.. nie wysylajac mu plik ) to przynajmniej nie musze sie bac o przypadkowe ujawnienie hasla. base64 nie jest taki latwy do zapamietania.
A robie to od momentu, kiedy znajomy pokazywal mi cos u siebie w kodzie i otworzyl plik, w ktorym oprocz tego co chcial mi pokazac, mial tez podane hasla.
Nie wykorzystalem go do tej pory, ale im mniej wiem tym lepiej spie