Witam,
Aktualnie piszę swój pierwszy projekt oparty o MySQL i pojawiło się takie zagadnienie: jak przechowywać login i hasło do bazy MySQL by skrypty php mogły się z nią połączyć.
Bo przecież nawet jeśli baza zapewnia dostatecznie bezpieczeństwo danych w niej się znajdujących przed dostępem do nich osób niepowołanych to jeśli samo hasło do bazy będzie niedostatecznie chronione to nic z tego bezpieczeństwa nie zostanie...
Pierwszym przychodzącym do głowy sposobem jest trzymanie hasła do bazy bezpośrednio w pliku php, ale takie rozwiązanie wydaje mi się bardzo nieprofesjonalne. Gdy mój skrypt będzie miał instalator, który zapyta usera jakie jest hasło do MySQL to przecież nie będę edytować kodu swojego skryptu...
Jak Wy to robicie, jak to jest rozwiązane w profesjonalnych projektach jak np. phpBB?

Pozdrawiam

Dlaczego masz nie trzymać hasło do DB w kodzie? To jedyne sensowne rozwiązanie, bo gdzie indziej możesz je trzymac? Instalator ma właśnie za zadanie pobrać od Ciebie hasło i tak zmodyfikować kod, aby to hasło się w nim znalazło . Takie hasło przechowuj sobie w pliku konfiguracyjnym. np.

[PHP] pobierz, plaintext 
<?php
$dbName='myCoolDB';
?>
[PHP] pobierz, plaintext 

Choć lepiej przechowywać w stałych

@cysiaczek ty tak nie galopuj. a chociazby o plikach xml slyszal? albo zwykle txt?
Co nie zmienia faktu ze plik .php tez moze byc, ale nie mow ze to jedyne sensowne rozwiązane, bo z tym sensowne to bym polemizowal

edit: z jedyne tez

Cóz, miałem pisac o .txt i .xml, ale się rozmyśliłem, bo troche bardziej bezpieczniej w .php - przynajmniej ,mniejsza szansa, że ktoś podejrzy btw. jak w XML'u, to już lepiej w stringu XML zapisanym do pliku php.

przy źle skonfigurowanym serwerze to ci wszystko podejrzą. i zapisywanie xml do php mija sie z celem

Własnie chodzi mi o te wypadki, gdy serwery są źle skonfigurowane, bo cóż to za problem poprosić serwer o pokazanie pliku .txt, czy .xml ?

No ale jak bedzie serwer źle skonfigurowany to bede mogl sobie chociazby caly katalog przegladac przez www i tym samym miec dostep do plikow php. no nie popadajmy w paranoje

Zaczęła się dyskusja co do złej lub dobrej konfiguracji serwera ale skrypt jest na koncie na płatnym serwerze. Za dużo to ja tam chyba nie mogę konfigurować, co?

Możesz utworzyć folder config, w którym umieścisz plik .htaccess, w którym z kolei zabronisz dostępu komukolwiek przez serwer http. Plik będzie widziany jednak przez skrypty. Wtedy możesz robić co chcesz... Większość serwerów udostępnia możliwość konfigurowania apache przez .htaccess.

Aha
Jak na razie nie wiem co się wpisuje do tego pliku

Google wie: apache access control. Dwa pierwsze wyniki.

A jak to robią projekty jak phpBB, php-nuke? Właśnie w ten sposób?

Nie pamiętam dokładnie. Wybór jest dowolny, pliki php ze zmiennymi w kodzie php są bezpieczne. Wszelkie pliku, do których nie ma dostępu z zewnątrz też są bezpieczne. To twój wybór, która technika Ci się bardziej spodoba

phpBB tworzy w gł. kat. plik config.php (bodajże) i tam umieszcza wszystkie inf. potrzbne do połączenia z bazą...

W formie:

[PHP] pobierz, plaintext 
<?php
$mysql_config['pass'];
?>
[PHP] pobierz, plaintext 

a później ten plik config.php include'uje? W takim razie ja chyba też tak zrobię. Dzięki!

Tak miało być

[PHP] pobierz, plaintext 
<?php
$mysql_config['pass'] = 'haslo';
?>
[PHP] pobierz, plaintext 

Sorry, ale jako gość nie mogę edytować postów, chyba sobie zrobię konto na forum

tak naprawdę rób w czym chcesz tylko pamiętaj o zabezbieczeniu (np. poprzez .htaccess) tego przed osobami trzecimi



nie prościej i wygoniej:

Przeczytałam post i wygooglowałam conieco.
Pytanie w ramach upewnienia się:
Czy taki wpis w pliku: .htaccess, umieszczonym w katalogu private spowoduje, że moje hasła w skryptach poczują się bezpieczniej :roll2:

[PHP] pobierz, plaintext 
<?php
<Directory /private>
Options None
AllowOverride None
</Directory>
?>
[PHP] pobierz, plaintext