Hallo Leute,
ich habe bisher sowohl das Passwort für meinen Admin-Bereich als auch für den MySQL-database-login in einer *.php-Datei folgendermaßen gespeichert:

Nun frage ich mich, wie sicher das ist? An sich kommt man ja nur an die Daten, wenn man die FTP-Zugangsdaten zum Server hat, oder nicht?

Ich überlege, ob ich nicht $adminpassword mit md5() verschlüssele, das klappt auch, aber das dbpassword kann ich damit ja nicht verschlüsseln.
Wie steht es also mit der Sicherheit meiner Passwörter?

Danke und Gruß, coppy

Mister Ad

Beschäftige mich gerade auch mit einem Passwortschutz.

Das Problem besteht darin, dass z.B. die URL

http://www.abc.de/skript.php?adminpa...uteForceAttack

aufgerufen werden könnte oder Dein Passwort wird gesetzt o.ä.

Das Passwort sollte schonmal nie im Klartext irgendwo gespeichert sein (oder nur in zugangsbeschränkten Bereichen)

robo47

einen order unter der root-ebene der domain anlegen und da reinhauen, dann kann von aussen schonmal keiner rankommen oder alternativ ein verzeichnis mit ner htaccess drin und
DENY FROM ALL
rein, dann kann keiner von aussen zugreifen.

mfg
robo47

__________________
robo47.net - Blog, Codeschnipsel und mehr
| Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework

Mein Problem ist, dass mein Skript andere benutzen, die größtenteils von solchen Dingen keine Ahnung haben, ich kann es niemand zumuten, groß im Dateisystem seines Providers rumzustöbern.

Das Adminpasswort wird ja nicht per GET übergeben, sondern liegt in einer .php-Datei, die included wird, wo es benötigt wird. diese wird ja beim Aufruf geparst und somit ist es nicht möglich, dass variablen lesbar werden, oder?
Der Einzige Zugriff, den ich mir vorstellen kann, wäre über FTP, wo man ja die Quelle der PHP-Dateien runterladen kann, wo dann das Passwort offen steht. Aber FTP-Zugänge sollten doch sicher genug sein, dass man da nicht noch zusätzlichen Schutz einbauen muss, oder?

robo47

also ein verzeichniss mit der von mir genannten htacces drin, wo dann die config-datei(en) drinliegen ist eigentlich kein problem.

eine gefahr ist dass aus irgendwelchen gründen der webserver sein php vergisst, dann zeigt er dir blank die quelltexte der dateien an, das ist schon vorgekommen. und dagegen hillft der schutz via htaccess


mfg
robo47

__________________
robo47.net - Blog, Codeschnipsel und mehr
| Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework

Wenn ich z.B. ./safe_dir/ geschützt habe, dann kann ich doch schon noch mit ./my_script.php auf den Inhalt in dem durch .htaccess geschützten Ordner drauf zugreifen? .htaccess wird nur von Apache verwendet und php läuft als normaler Prozess der von Apache garnichts wissen will!?


Musst Du ja auch nicht. Es ging darum wo DU das Passwort "versteckst".

Was ist wenn der Parser ausfällt, er nicht aufgerufen wird oder sonst was schief läuft? Wenn der Admin "vergisst" php in der Config einzutragen....

robo47

@atreidis die htaccess regelt den zugriff von "aussen" sprich das was übers web kommt, könnte php dann nciht drauf zugreifen wäre das ja schön bescheiden.

mfg
robo47

__________________
robo47.net - Blog, Codeschnipsel und mehr
| Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework

Davon bin ich ausgegangen, wollte es nur bestätigt haben

Wie könnte man dann folgendes Szenario lösen:

./script.php
./safe_dir/ : geschützte Dateien

safe_dir ist mit .htaccess geschützt.

Eine "normale" Datei aus safe_dir mit PHP zu lesen ist kein Problem, was ist aber wenn es sich dabei um Grafiken, Flash, .... handelt?

robo47

__________________
robo47.net - Blog, Codeschnipsel und mehr
| Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework

Die werden ja nicht direkt über die URL gelesen, oder ?
Werden wohl über eine PHP oder HTML eingebunden.