Ankündigung

Einklappen
Keine Ankündigung bisher.

PHP Script SQL Sicherheit

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • PHP Script SQL Sicherheit

    Hallo,

    ich habe ein Bestell-Script erstellt. Dieses sendet die im Bestellvorgang eingetragenen Daten an eine Mysql Datenbank.

    Hierzu habe ich eine php Datei auf den Server per FTP geladen.

    Läuft alles...

    Aber in der php Datenbankdatei habe ich, damit diese Zugriff auf die Datenbank bekommt, auch Name und Passwort für die mysql Datenbank eingetragen.

    Nun habe ich aber das Problem, dass ich hier ein Sicherheitsproblem habe, denn auf meinem Webserver liegt eine ph-datei mit den zugangsdaten für die sql datenbank und darin wären dann in der folge die bestellungen und daten abgelegt.

    Gibt es einen Weg, wie ich das so lösen könnte, dass ich nicht auf dem Webserver eine Datei mit den Zugangsdaten habe, aber dennoch mein php Script die Daten in die Datenbank eintragen kann?

    Vielen dank.

  • #2
    Über den Webserver kann niemand auf den Quelltext einer PHP Datei zugreifen. Wo siehst du da ein Problem?

    Kommentar


    • #3
      ich sehe ein problem darin, dass zumindest auf einem "webserver" ein zugangscode liegt, der die türe zu sämtlichen persönlichen kundendaten liefern würde.

      man müsste also nur die zugangsdaten zum webserver, ftp hacken und hätte alles.
      ich weiss nicht, wie es nunbei anderen fertiglösungen ist,a ber ich kann mir nicht vorstellen, dass man dort auch die passwörter "offen" auf dem server liegen hat.

      mir fällt nur keine praktikable lösung ein, wie ich es sonst machen könnte als derzeit.

      Kommentar


      • #4
        Zumindest gängige Software (Wordpress, Joomla, XT:Commerce, osCommerce) machen das genau so. Ein Trick ist noch, die Datei mit den Zugangsdaten ausserhalb des Documentroot, also da wo bei dir die Webseite abgelegt ist, zu schieben, also ein Verzeichnis höher. Dann kommt man da natürlich trotzdem über FTP ran, aber nicht mehr, wenn der Webserver durch einen Fehler Dateien einfach ungeparsed ausspuckt.
        [I]You know, my wife sometimes looks at me strangely. „Duncan“, she says, „there's more to life than Solaris“. Frankly, it's like she speaks another language. I mean, the words make sense individually, but put them together and it's complete nonsense.[/I]

        Kommentar


        • #5
          dankeschön. ich werde schauen, ob ich es optimiert bekomme

          Kommentar


          • #6
            Wer Zugang zu dienem FTP hat, kann auch einfach deine PHP Dateien manipulieren und so die Daten auslesen, er brauch dafür nicht mal direkten Zugang zur Datei mit den Zugangsdaten ...

            Kommentar


            • #7
              Zitat von Bioxt Beitrag anzeigen
              man müsste also nur die zugangsdaten zum webserver, ftp hacken und hätte alles.
              Nur ist gut. Das ist fast schon Worst Case. Wenn ein Angreifer Zugriff auf den FTP hat und damit Programme im Kontext des Webservers starten kann was soll ihn dann noch abhalten?! Ein Script was die Datenbank häppchenweise zum Downloaden anbietet ist schnell geschreiben. (und gibts auch fertig)

              Zitat von Bioxt Beitrag anzeigen
              ich weiss nicht, wie es nunbei anderen fertiglösungen ist,a ber ich kann mir nicht vorstellen, dass man dort auch die passwörter "offen" auf dem server liegen hat.
              Ist aber so.

              Was du tun kannst ist aber die Datenbank abzuschotten. Skip Networking, Accounts mit Hostbindung, Firewall oder ein getrenntes Netz. Solange der Angreifer keinen Befehle auf einem der "erlaubten" System ausführen kann nutzen Ihn somit die Zugangsdaten nix.

              Kommentar


              • #8
                Zufaelligerweise plagt mich momentan genau dasselbe Problem. Dazu habe ich diesen Thread gefunden, dessen Loesungsvorschlaege mir sehr sinnvoll erscheinen.
                [url=http://www.nytimes.com/2003/09/28/magazine/the-way-we-live-now-9-28-03-questions-for-linus-torvalds-the-sharer.html][i]"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect."[/i] [b]Linus Benedict Torvalds, 28.9.2003[/b][/url]

                Kommentar


                • #9
                  Hier noch ein interessanter Link zu dem Thema "Documentroot" :
                  http://blog.ha-com.com/2011/07/11/op...-documentroot/

                  Kommentar

                  Lädt...
                  X