Witajcie!
Kiedyś jak zaczynałem swoją przygodę z php usłyszałem od kogoś, że bardzo dobrym sposobem jest umieszczanie nazwy hosta, hasła do bazy i nazwy bazy w osobnym pliku. Ja stosuje [b]config.inc.php[\b]. W windowsie raczej są skromne metody na zabezpieczenie takiego pliku. Ale jeśli serwer będzie na linuksie, to gdzie ten plik umieścić, jakie prawa mu nadać, żeby w przypadku włamania na serwer, intruz nie dostał się do hasła?
Pełna wersja: Hasło do bazy w pliku i jego zabezpieczenie
Jeśli sie nie myle to prawa na linuxie muszą być 644. Niestety pliki muszą mieć prawo odczytu dla wszystkich wiec nic nie możesz zrobić prawami dostępu. Ale jeżeli plik ma rozszerzenie .php to jesli "hacker" bedzie próbował podejrzeć plik np porzez www.costam.pl/config.inc.php to zobaczy pusty dokument chyba że w dokumencie jest jakies echo lub print.
Takie mi sie zdaje lecz moge się mylić.
Takie mi sie zdaje lecz moge się mylić.
Dodam tylko ze plik ten powinien byc umieszczony w katalogu nadpublicznym
Cytat(SongoQ @ 2005-04-20 17:25:59)
Dodam tylko ze plik ten powinien byc umieszczony w katalogu nadpublicznym
Tzn jakim?
Cytat
Ale jeżeli plik ma rozszerzenie .php to jesli "hacker" bedzie próbował podejrzeć plik np porzez www.costam.pl/config.inc.php to zobaczy pusty dokument chyba że w dokumencie jest jakies echo lub print.
A gdyby była chwilowa awaria serwera i parser php nie wykonywałby skryptów? To wtedy wyświetli zawartość plików php
Cytat(Guest @ 2005-04-20 18:57:50)
Cytat(SongoQ @ 2005-04-20 17:25:59)
Dodam tylko ze plik ten powinien byc umieszczony w katalogu nadpublicznym
Tzn jakim?
Takim, do którego nie ma dostępu przez www. Większość porządniejszych serwerów ma katalog "web" / "www" / "public" z którego są otwierane pliki przy wpisaniu adresu http://(...)/ natomiast katalog nadrzędny jest dostępny tylko przez ftp i dla skryptów.
A co z tym, że:
"A gdyby była chwilowa awaria serwera i parser php nie wykonywałby skryptów? To wtedy wyświetli zawartość plików php"
"A gdyby była chwilowa awaria serwera i parser php nie wykonywałby skryptów? To wtedy wyświetli zawartość plików php"
Cytat(Zajec @ 2005-04-20 19:16:12)
Cytat(Guest @ 2005-04-20 18:57:50)
Cytat(SongoQ @ 2005-04-20 17:25:59)
Dodam tylko ze plik ten powinien byc umieszczony w katalogu nadpublicznym
Tzn jakim?
Takim, do którego nie ma dostępu przez www. Większość porządniejszych serwerów ma katalog "web" / "www" / "public" z którego są otwierane pliki przy wpisaniu adresu http://(...)/ natomiast katalog nadrzędny jest dostępny tylko przez ftp i dla skryptów.
Wystarczy przeczytać co piszą inni
prawda jest taka ze jesli ktos juz by sie wlamal na serwer to rownie dobrze moze sie wlamac do bazy. nie ma wiec sensu wszystko co tu piszecie 
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.