[Erledigt] Sicherheit von define()

stuntman_mike · 23.02.2010, 18:13

Hi, bin gerade dabei, die paypal API auf meiner Shopseite einzurichten.

Von paypal gibt es Beispieldateien, wie man die API integriert.

in der Datei constants.php werden die Daten des Shopkontos definiert.
Dabei steht, dass man das Passwort so nicht einbinden soll, da das nicht sicher wäre.

Ich versteh nicht, was daran unsicher sein sollte, und wie man es sonst machen soll:

PHP-Code:

  /**
# API_password: The password associated with the API user
# If you are using your own API username, enter the API password that
# was generated by PayPal below
# IMPORTANT - HAVING YOUR API PASSWORD INCLUDED IN THE MANNER IS NOT
# SECURE, AND ITS ONLY BEING SHOWN THIS WAY FOR TESTING PURPOSES
*/

define('API_PASSWORD', 'QFZCWN5HZM8VBG7Q');

Destruction · 23.02.2010, 20:34

*g* Wo haste das denn her?
Es wäre nur unsicher, wenn jemand auf deinen Webserver kommt ( wie bei jedem Script in dem ein Passwort steht ).
Ich kann mir aber nicht vorstellen dass es anders gehen wird.
Du musst ja schließlich ein PW an PayPal übergeben.

cu

Grüße
Destruction

Flor1an · 23.02.2010, 20:45

Das Problem ist wenn dein Webserver durch einen Fehler PHP nicht mehr parst sondern als Klartext ausliefert. Dann wäre es möglich eben das Passwort als Klartext zu lesen und dann entsprechend zu benutzen.

Von daher sollte man Konfigurationsdaten immer außerhalb des Webroots lagern. Somit kann man, auch bei einem Fehler des Webservers, die Datei nicht auslesen.

Ansonsten seh ich da kein Sicherheitsproblem.

xm22 · 23.02.2010, 20:53

Früher habe ich es noch so gemacht, dass die Dateien mit einem "." oder "#" angefangen haben. Aber die Lösung mit dem Webroot ist auf jeden Fall sauberer.

Papst · 23.02.2010, 22:04

eine deklarierte Variable ist in dem Moment unsicher, in dem jemand fremdes auf deinem Webspace/Server Code ausführen kann.
Ein simples 'print_r($GLOBALS);' zeigt ja warum!
Oft wird eine Variable benutzt um Config Daten zu speichern. Diese würde dann ausgegeben werden. Einen Schritt weiter gedacht wären die Konstanten dran.

Wenn allerdings jemand frei Code bei dir ausführen kann ist es eh schon zu spät

stuntman_mike · 23.02.2010, 23:11

Zitat:

Zitat von Flor1an

Von daher sollte man Konfigurationsdaten immer außerhalb des Webroots lagern. Somit kann man, auch bei einem Fehler des Webservers, die Datei nicht auslesen.

außerhalb des Webroots heisst dann in etwa so?

PHP-Code:

  require('../config.php');

Also einen Ordner "über" dem webroot?

Flor1an · 23.02.2010, 23:20

Ganz genau. Denn so ist es nicht möglich über http ://www .domain.de/config.php auf die Datei zuzugreifen.

stuntman_mike · 24.02.2010, 11:45

ok, danke für die Hilfe!

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] Define in Funktion sichtbar machen	Schmuse	PHP Tipps 2009	3	08.10.2009 18:01
Bewertung der Sicherheit einer Hash-URL oder Alternativen	nikosch	PHP-Fortgeschrittene	15	13.07.2009 18:56
[Erledigt] TinyMCE != Sicherheit?	Squall	PHP Tipps 2009	5	04.07.2009 14:42
Sicherheit	Maaax	PHP Tipps 2009	4	25.06.2009 00:28
[Erledigt] Buch gesucht... PHP Sicherheit	mnemonik	Off-Topic Diskussionen	5	26.05.2009 17:29
Sicherheit eines PHP Scriptes (z.B. $_GET, HTTPS)	MatzeMuc86	PHP Tipps 2009	8	07.04.2009 10:43
Sessions und die Sicherheit. Verständnisfrage.	litterauspirna	PHP Tipps 2008	7	30.10.2008 09:39
sicherheit	SteiniKeule	PHP Tipps 2008	9	20.10.2008 06:48
[Erledigt] Sessions und Sicherheit	Wolla	PHP Tipps 2008	16	01.08.2008 19:33
Sicherheit in PHP	robydog	PHP Tipps 2008	52	10.05.2008 13:09
Erfahrung mit Sessions ( Sicherheit )	GELight	PHP Tipps 2006	6	11.08.2006 17:55
Define mit UTF8-Zeichen (russisch)		PHP-Fortgeschrittene	3	08.09.2005 23:16
Sicherheit im Web-Interface	nussbaum	PHP Tipps 2005-2	9	29.06.2005 14:10
Sicherheit....	renzo	PHP Tipps 2005-2	1	27.06.2005 15:53
Generierung eines eindeutigen Schlüsselwertes	ajo_silent	PHP-Fortgeschrittene	6	03.06.2005 22:47

23.02.2010, 18:13
stuntman_mike Benutzer Registriert seit: 04.09.2009 Beiträge: 47 PHP-Kenntnisse: Fortgeschritten	[Erledigt] Sicherheit von define() Hi, bin gerade dabei, die paypal API auf meiner Shopseite einzurichten. Von paypal gibt es Beispieldateien, wie man die API integriert. in der Datei constants.php werden die Daten des Shopkontos definiert. Dabei steht, dass man das Passwort so nicht einbinden soll, da das nicht sicher wäre. Ich versteh nicht, was daran unsicher sein sollte, und wie man es sonst machen soll: PHP-Code: `/** # API_password: The password associated with the API user # If you are using your own API username, enter the API password that # was generated by PayPal below # IMPORTANT - HAVING YOUR API PASSWORD INCLUDED IN THE MANNER IS NOT # SECURE, AND ITS ONLY BEING SHOWN THIS WAY FOR TESTING PURPOSES */ define('API_PASSWORD', 'QFZCWN5HZM8VBG7Q');`


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

23.02.2010, 20:34
Destruction Erfahrener Benutzer Registriert seit: 05.02.2009 Beiträge: 1.401 PHP-Kenntnisse: Fortgeschritten	g Wo haste das denn her? Es wäre nur unsicher, wenn jemand auf deinen Webserver kommt ( wie bei jedem Script in dem ein Passwort steht ). Ich kann mir aber nicht vorstellen dass es anders gehen wird. Du musst ja schließlich ein PW an PayPal übergeben. cu Grüße Destruction __________________ "Dummheit redet viel..Klugheit denkt und schweigt.." [Amgervinus]

23.02.2010, 20:45
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Das Problem ist wenn dein Webserver durch einen Fehler PHP nicht mehr parst sondern als Klartext ausliefert. Dann wäre es möglich eben das Passwort als Klartext zu lesen und dann entsprechend zu benutzen. Von daher sollte man Konfigurationsdaten immer außerhalb des Webroots lagern. Somit kann man, auch bei einem Fehler des Webservers, die Datei nicht auslesen. Ansonsten seh ich da kein Sicherheitsproblem.

23.02.2010, 20:53
xm22 Erfahrener Benutzer Registriert seit: 30.07.2008 Beiträge: 1.167 PHP-Kenntnisse: Fortgeschritten	Früher habe ich es noch so gemacht, dass die Dateien mit einem "." oder "#" angefangen haben. Aber die Lösung mit dem Webroot ist auf jeden Fall sauberer.

23.02.2010, 22:04
Papst Erfahrener Benutzer Registriert seit: 14.10.2007 Beiträge: 306 PHP-Kenntnisse: Fortgeschritten	eine deklarierte Variable ist in dem Moment unsicher, in dem jemand fremdes auf deinem Webspace/Server Code ausführen kann. Ein simples 'print_r($GLOBALS);' zeigt ja warum! Oft wird eine Variable benutzt um Config Daten zu speichern. Diese würde dann ausgegeben werden. Einen Schritt weiter gedacht wären die Konstanten dran. Wenn allerdings jemand frei Code bei dir ausführen kann ist es eh schon zu spät

23.02.2010, 23:20
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Ganz genau. Denn so ist es nicht möglich über http ://www .domain.de/config.php auf die Datei zuzugreifen.

24.02.2010, 11:45
stuntman_mike Benutzer Registriert seit: 04.09.2009 Beiträge: 47 PHP-Kenntnisse: Fortgeschritten	ok, danke für die Hilfe!