PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SICHERHEIT + PHP



H a r a l d
02-06-2001, 17:49
Hi !!

mit dem befehl show_source kann ja ein anwender jede php-quellcode.seite ansehen.
da darin aber teilweise passwörter für z.b. datenbank anmeldungen sind....ist das doch ein sicherheitsproblem?????

wie kann man sich dagegen schützen??

gruß

harald

Hans-Georg Normann
02-06-2001, 22:32
Hi Harald

<BLOCKQUOTE><font size="1" face="Arial,Helvetica,Geneva">Zitat:</font><HR> ....ist das doch ein sicherheitsproblem [/quote]

das kommt ganz darauf an wie die Datenbank eingesetzt wird.

wenn ich in einer Datenbank userbezogene Daten verwalte, dann muß natürlich der User sein Passwort wissen, z. B. Counterverwaltung.

wenn es eine öffentliche Datenbank ist, so darf das Password jeder wissen, nur muß diese Zugang sehr restriktiv sein, d. h. nur leserechte für die gewünschten Tabellen.

es ist das Wesen einer guten Datenbank, das diese etwas mehr macht, als nur Daten bereit zu stellen. Eine gute Userverwaltung sollte u. a. auch integriert sein.
Hans

[ 02. Juni 2001: Beitrag editiert von: Hans-Georg Normann ]

tHe_JaNuS
03-06-2001, 02:12
Irgendwie verstehe ich den Bezug der Antwort auf die Frage nicht so ganz...

Es ist an sich völlig egal wie die Datenbank benutzt wird, generell würde ich es vermeiden Passwörter anzeigen zu lassen, noch sie in dem eigentlichen Script zu speichern.
Es ist allgemein üblich Passwörter in einer externen Config-File zu speichern und diese Datei dann zu "includen" bzw. einzubinden.
Auf diese Weise ist das Problem mit dem Passwort usw auch gelöst. :)

Martin Ament
03-06-2001, 10:21
Hi,

wie kann ein Anwender mit show_source den Quellcode sehen ? Mir ist dieses Verfahren noch nicht bekannt.

Martin

tHe_JaNuS
03-06-2001, 15:11
show_source erfüllt die gleiche Funktion wie eine File die unter file.phps gespeichert ist (Quellcode formatiert anzeigen).
Der Vorteil von show_source ist aber, dass man kontrollieren kann wann der source angezeigt wird, bzw. man nicht einmal die original Filenamen sehen muss.
Hat für Sicherheits-fetischisten (*g*) bestimmt Vorzüge ;)
Eine Möglichkeit wäre, dass man in jedem Script eine Abfrage macht ob z.B. $source gesetzt ist und wenn, dann den Source anzeigen lässt.