Mysql_connect a bezpieczeństwo?

Tutaj dyskutujemy o PHP oraz zgłaszamy i rozwiązujemy problemy dotyczące tego języka.
tajger
Zaawansowany
Zaawansowany
Posty: 223
Dołączył(a): niedziela, 11 marca 2012, 03:08
Lokalizacja: Poland
Contact:

Mysql_connect a bezpieczeństwo?

Post przez tajger »

Mamy np.:
$mysqlConnection = @mysql_connect("serwer", "login", "hasło") or die(mysql_error());

Nie powinniśmy "serwer", "login" i "hasło" w jakiś sposób shaszować, schować, aby nikt tego nie widział nawet my? W końcu tutaj dajemy dostęp innymdo naszego serwera. Wiadomo, że PHP w kodzie źródłowym nie widać, ale czy można byłoby to jakoś przechwycić? Oczywiście wchodząc w plik na serwerze możemy to znaleźć.
Zawsze walcz do końca i nigdy się nie poddawaj!
Morfidon
Administrator
Administrator
Posty: 1332
Dołączył(a): wtorek, 5 sierpnia 2008, 21:48
Contact:

Re: Mysql_connect a bezpieczeństwo?

Post przez Morfidon »

Jeśli ktoś nie ma dostępu do Twojego pliku to nie zdobędzie loginu i hasła, chyba że host i baza mysql jest na różnych serwerach:
http://stackoverflow.com/questions/3888 ... t-security
sebus79
Nowicjusz
Posty: 2
Dołączył(a): środa, 14 sierpnia 2013, 21:00

Re: Mysql_connect a bezpieczeństwo?

Post przez sebus79 »

A kwestie właściciela udostępniającego serwer?
Ma przecież pełen dostęp (jako administrator) do plików.

A gdyby to jakoś zahashować to nic by mu to nie dało.

Apropos md5 (czy jakiegokoliwiek innego hashowania).
Czy można, tworząc bazę danych typu imie, nazwisko, adres, hashować w.w dane? Chodzi o dane osobowe. Czy imie, nazwisko, adres może być zahashowane a potem odkodowane w celu wyświetlenia?
Morfidon
Administrator
Administrator
Posty: 1332
Dołączył(a): wtorek, 5 sierpnia 2008, 21:48
Contact:

Re: Mysql_connect a bezpieczeństwo?

Post przez Morfidon »

Owszem właściciel serwera ma dostęp do wszystkiego na serwerze w końcu jest jego ;) Ale raczej większość serwerowni ma tak podpisaną umowę, że Cię zabezpieczają jak to jest w praktyce ? różnie...

Hashowanie jest jednostronne, jeśli chcesz zakodować coś to możesz co najwyżej zakodować z pomocą jakiegoś kodu, algorytmu szyfrującego, ale raczej nie ma sensu.
Post Reply