Pytanie na pierwszy rzut oka dość trywialne (może i na drugi rzut oka też), ale je zadam.

Jak bezpiecznie połączyć się do bazy MySQL, bo wydaje i się, że umieszczanie w kodzie PHP wszystkich danych takich jak user i hasło nie jest dobrym pomysłem.
Na dzień dzisiejszy pobieram te dane z pliku i zapisuje do sesji, ale wystarczy przecież ten plik ściągnąć i ma się już usera + hasło.

Jak to jest z tym bezpieczeństwem?

normalnie, tak jak wszedzie, dane (host, dbname, dbusername, password) w pliku config.php i juz... nie podgladniesz, bo niby jak...

Bezpiecznie jest pociecie uprawnien uzytkownika tylko do niezbednych.

Ale nie ściągniesz takiego pliku przez HTTP. Możesz też kodować base64, ale to tylko dla osób o wybitnie małej wiedzy o PHP. Ale po do je zapisywać w sesji?

Pozdrawiam

Zapisuje je do sesji, bo pobieram raz (config.ini) a potem łącze się za pomocą $_SESSION['host'], $_SESSION['user'], $_SESSION['passwd'] i $_SESSION['db'].

Czyli mam rozumieć, że nie da się w ŻADEN sposób pobrać pliku *.php, tak, żeby zwrócił kod źródłowy?

A np. jakieś managery ściągań (DownThemAll i podobne)?

I żeby nie było wątpliwości: wiem jak się łączyć z bazą, wiem jak przechowywać dane konfiguracyjne, ale nie wiem na ile jakie metody są bezpieczne.

P.S. Dzięki za pomoc

Managery działają w tym względzie jak przeglądarka, pobiorą wynikowy kod, więc odpowiedź na Twoje pytanie brzmi - nie, nie da się

Jeśli boisz się że Twoje pliki php z konfiguracją zostana odczytane (np na serwerze www wyłączysz parser php i pliki php będą zwyczajnie odczytywane) lub też konfigurację masz w plikach np ini to zawsze możesz je umieścić powyżej katalogu root serwera www. Wtedy z zewnątrz nie będzie do nich dostępu natomiast ty z poziomu skryptów będziesz mógł je nadal odczytywać.

Ok, rozumiem, dzięki.
Temat rozwiązany.

zobacz to -> http://www.beldzio.com/bezpieczenstwo-dostepu-do-plikow <- moze cos ciekawego sie dowiesz