Ankündigung

Einklappen
Keine Ankündigung bisher.

Text in Datenbank speichern ohne passwort?

Einklappen

Neue Werbung 2019

Einklappen
X
Einklappen
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige Weiter
  • #1

    Text in Datenbank speichern ohne passwort?

    Zuletzt geändert von pbpQS; 19.07.2020, 15:43.
    Hallo.

    Nehmen wir an, dass ich ein Formular habe. Der User kann Text eingeben. Nun will ich diesen Text in der Datenbank speichern, wenn der User auf “Datenbank speichern„ klickt.

    Das, was ich möchte ist, dass ich keine Datenbank Daten eingeben will wie z. B.

    PHP-Code:
    <?php
    $host     "localhost"/* Host name */

    $user "root"/* User */

    $password ""/* Password - NICHT EINGEBEN WEGEN DER SICHERHEIT */

    $dbname "tutorial";


    $con mysqli_connect($host$user$password,$dbname);

    // Check connection

    if (!$con) {

      die(    "Connection failed: " mysqli_connect_error());

    }

    ?>
    Ist sowas möglich?

    Warum will ich sowas tun?

    Wegen der Sicherheit.

    Danke.
    Stichworte: -
  • #2
    Zitat von pbpQS Beitrag anzeigen
    Ist sowas möglich?
    Nur wenn der verwendete Benutzer kein Passwort hat - das sollte man aber nicht machen, bei root schon gleich dreimal nicht. In handelsüblichen Webspace-Angeboten wird das (zu Recht!) auch nicht gehen - sonst könnte jeder Benutzer der auf dem gleichen Server liegt auf deine Datenbank zugreifen.

    Warum will ich sowas tun?

    Wegen der Sicherheit.
    Inwiefern versprichst du dir da Sicherheit? Der User sieht doch das Passwort garnicht, das steht doch nur im Quelltext …

    Kommentar

    • #3
      Ich habe nur gedacht, dass wenn ich nirgends wo ein Passwort eingebe, dass ich dann auch keine Sorgen hätte.

      Kommentar

      • #4
        Die Zugangsdaten gehören in eine extra Datei, diese sollte ausserhalb des document root liegen. Danach machst du lediglich ein include zu dieser Datei bevor du eine Verbindung zur DB aufbaust.

        Kommentar

        • #5
          Ich habe diesen Artikel gelesen:

          https://feross.org/cmsploit/

          Ich dachte: kein passwort = keine probleme

          Kommentar

          • #6
            Kein Passwort = Kein Zugriff

            Du hast den Artikel wohl gelesen aber nicht verstanden. Es geht dort um CMS, welche unter Umständen Backupfiles erstellen, welche dann ausgeliefert werden. Wenn du #4 beherzigst hast du keine Probleme.
            • 1 Likes

            Kommentar

            • #7
              Es geht nicht nur um CMS. Das ist ein generelles Problem.


              Text Editors Make Temporary Files


              Popular command line text editors like Vim, Emacs, Gedit, and Nano create several temporary backup files during the course of file editing. When you open a file for editing, a backup of the original file is saved. Depending on your text editor, in-progress file changes might also be saved to a swap file, so you can restore your unsaved changes in the event of a program crash, power outage, or connectivity issue.

              If all goes well, when you’re done editing the file, the text editor deletes the temporary files so your filesystem doesn’t accumulate dozens of old temporary files. However, if your text editor crashes or you lose your connection, then the temporary files will still be on your filesystem.
              Aber egal.

              Für meine Frage heißt das: Passwort muss sein.

              Kommentar

              • #8
                Zitat von pbpQS Beitrag anzeigen
                Es geht nicht nur um CMS. Das ist ein generelles Problem.
                Deswegen sollst du ja #4 beachten: wenn die Config-Datei in einem Verzeichnis liegt das per http(s) nicht erreichbar ist, ist es völlig egal ob die Config-Datei zusätzlich noch als .php~ o.ä. in dem Verzeichnis liegt.

                Kommentar

                • #9
                  Es gibt viele Wege um ein Passwort zu speichern:

                  https://www.codementor.io/@ccornutt/...-php-kvcbrk55z

                  Bei all dem sollte aber bedacht werden, wenn ein Angreifer Zugang zum Server erhält oder hinterrücks PHP-Code ausführen kann, kann er ziemlich sicher auch das Passwort auslesen, egal wie und wo es gespeichert ist. Also es bringt nichts ein Passwort mit den höchsten Sicherheitsvorkehrungen abzuspeichern, sich dann aber nicht um die Absicherung des Servers oder bei der Code-Qualität zu sparen.

                  Die meist ausgenutzten Sicherheitslücken sind übrigens Fehler im Source-Code (SQL-Injections, usw. usf.) und veraltete Software.
                  • 1 Likes

                  Kommentar

                  • #10
                    Zitat von pbpQS Beitrag anzeigen
                    Es geht nicht nur um CMS. Das ist ein generelles Problem.
                    "clte editor like gedit " ?

                    egal.

                    1.) wieso willst du auf der produktivumgebung vim aufrufen ?
                    2.) wieso willst du das unter der uid unter welcher dein php-fpm läuft
                    3.) wieso willst du dem webspace user zugriff auf /home/php-fpm-uid oder /tmp erlauben
                    4.) wieso nutzt du nicht einfach
                    Code:
                    set nobackup       "no backup files
set nowritebackup  "only in case you don't want a backup file while editing
set noswapfile     "no swap files
                    bspw für vi
                    • 1 Likes

                    Kommentar

                    Vorherige Weiter
                    Lädt...
                    X