Webstatt.org - Community seit 2006 - 2012 (2024?)

wie mysql logindaten einbinden

Avatar user-289
14.02.2007 19:57

Hi,

ist es unsicher, bzw. gibt es eine bessere/sicherere Methode als die mysql logindaten für ein script einfach in konstanten zu speichern?

Interesse? meine Referenzen. hier!!!
user-220
14.02.2007 20:13

Mit Konstanten, sollte es doch eig. recht gut sein. Denn einmal etwas definiertes kann man nicht ändern =)
Aber Variablen hingegen doch, also würde ich auch Persönlich ehr Konstanten nutzen - denn diese brauchst auch nicht Global setzen o.ä. Aber ist ja ansichtssache zwinkern

Avatar user-253
14.02.2007 20:16

Hmm in der Regel speichere ich die Logindaten nie.
An einer Stelle lese ich sie irgendwie ein (XML Datei, Config Datei,...) und initialisiere eine Datenbankklasse, die dann im ganzen Programm benutzt wird.

Warum die Daten irgendwo speichern

Avatar user-168
14.02.2007 20:18

Trotzdem hinterlegst du die Daten ja. In einem Config-File wäre das dann auch wieder auslesbar.

Dustwolf ------------------------- Und wenn du lange in einen Abgrund blickst, blickt der Abgrund auch in dich hinein. F. Nietzsche
user-303
14.02.2007 20:22

wenn man nciht ganz genau tut, würde ich stengstens von der speicherung sensibler daten in xml / ini etc. dateien abraten!
wer den dateiname weis, und der coder keine zugriffssperren eingebaut hat, hat er die daten!
bei variablen / constanten kann das nicht passieren...abgesehen von einem 'server fehler' natürlich

Avatar user-236
14.02.2007 20:26

die Daten könntest du auch noch außerhalb der Document Root ablegen.

signature in progress
Avatar user-289
14.02.2007 20:33

Gut, dachte Häcker könnten vielleciht die daten ohne prbleme auslesen, aber wenn ich recht überlege kanns ja nicht sein, da müssten sie sich schon auf den server einhacken oder?...

Interesse? meine Referenzen. hier!!!
user-303
14.02.2007 20:33

gestaltet sich bei normalen webspace angeboten meist recht schwierig

Avatar user-271
14.02.2007 20:58

Original von user-289
Gut, dachte Häcker könnten vielleciht die daten ohne prbleme auslesen, aber wenn ich recht überlege kanns ja nicht sein, da müssten sie sich schon auf den server einhacken oder?...

wenn du es als xml speicherst...dann werde sie klartext ausgegeben wenn du den direkten pfad kennst....

#!/bin/bash
traurig){ neutral:& };:
user-220
14.02.2007 22:23

Unter anderem leider ja... >.<, d.h. lieber Konstanten oder Variablen =)

Avatar user-289
14.02.2007 22:32

Original von user-303
gestaltet sich bei normalen webspace angeboten meist recht schwierig

Ist klar, aber müsste man theoretisch machen um meine Daten zu bekommen oder?!

Original von user-271
Original von user-289
Gut, dachte Häcker könnten vielleciht die daten ohne prbleme auslesen, aber wenn ich recht überlege kanns ja nicht sein, da müssten sie sich schon auf den server einhacken oder?...

wenn du es als xml speicherst...dann werde sie klartext ausgegeben wenn du den direkten pfad kennst....

Ist ausser bei user-251el ja nicht die rede von :rolleyes:

Interesse? meine Referenzen. hier!!!
Avatar user-271
14.02.2007 22:42


Original von user-271
Original von user-289
Gut, dachte Häcker könnten vielleciht die daten ohne prbleme auslesen, aber wenn ich recht überlege kanns ja nicht sein, da müssten sie sich schon auf den server einhacken oder?...

wenn du es als xml speicherst...dann werde sie klartext ausgegeben wenn du den direkten pfad kennst....

Ist ausser bei user-251el ja nicht die rede von :rolleyes:

naja...michael hat es erwähnt user-303 hat es wieder aufgefasst, und dann kam das mit den Hackern...und dann dachte ihc mir...da musste nichtmal ein super ober toller hacker sein, dass kann auch ein Script Kiddi, wenn du es als xml speicherst frech wollte ich nur so mal sagen...

#!/bin/bash
traurig){ neutral:& };:
Avatar user-289
14.02.2007 23:02

Original von user-271

Original von user-271
Original von user-289
Gut, dachte Häcker könnten vielleciht die daten ohne prbleme auslesen, aber wenn ich recht überlege kanns ja nicht sein, da müssten sie sich schon auf den server einhacken oder?...

wenn du es als xml speicherst...dann werde sie klartext ausgegeben wenn du den direkten pfad kennst....

Ist ausser bei user-251el ja nicht die rede von :rolleyes:

naja...michael hat es erwähnt user-303 hat es wieder aufgefasst, und dann kam das mit den Hackern...und dann dachte ihc mir...da musste nichtmal ein super ober toller hacker sein, dass kann auch ein Script Kiddi, wenn du es als xml speicherst frech wollte ich nur so mal sagen...

Ich verzeih dir :-* ^^

Interesse? meine Referenzen. hier!!!
Avatar user-253
15.02.2007 12:09

Original von user-168
Trotzdem hinterlegst du die Daten ja. In einem Config-File wäre das dann auch wieder auslesbar.


So ein Schmarrn. Wäre eine Configdatei in einem vom WWW zugänglichen Pfad speichert ist selbst dran schuld. Davon redet aber hoffentlich auch keiner. Vernünftigerweise speichert man dies einfach eine Ebene darunter und schon gibt es gar keine Probleme.

Moonsword, zumindest von dir hätte ich ein wenig Mitdenken erwartet.

Avatar user-168
15.02.2007 13:29

Öhm, sehr praxistauglich, wenn man bedenkt, dass wohl nur die wenigsten hier einen eigenen Webserver haben. Bei Webspace-Angeboten dürfte sich das nämlich meistens wie oben beschrieben sehr schwierig gestalten.

Dustwolf ------------------------- Und wenn du lange in einen Abgrund blickst, blickt der Abgrund auch in dich hinein. F. Nietzsche
Avatar user-253
15.02.2007 13:44

Wo kann man denn bitte nicht auf eine Ebene unterhalb der htdocs zugreifen? Selbst bei meinem ganz normalen Hoster geht das problemlos.
Wer das nicht kann sollte nicht weinen sondern lieber einen gescheiten Hoster suchen.

Avatar user-124
15.02.2007 13:48

bei All-Inkl liegen die ACCs in htdocs/benutzerid/, glaube ich. Ist All-Inkl etwa nicht gescheit? Ich meine, in der Praxis sollten wir schon von Shared- Hosting reden, hat ja nicht jeder einen Server, oder?

user-303
15.02.2007 13:48

z.b. 99% der freehoster

Avatar user-253
15.02.2007 14:08

Freehoster verdienen keinen Kommentar.
Ansonsten bin ich persönlich der Meinung, dass es zu einem vernünftigen Angebot gehört, Dokumente außerhalb des WWW Verzeichnisses zu speichern. Also Ja. Wenn das bei all-inkl nicht geht, ist das Angebot für mich nicht gescheit. Es geht ja auch anders - auch bei ganz normalen Hostern.

Im Übrigen ging es mir nur darum, darauf hinzuweisen, dass ich auf keinen Fall meinte, MySQL Daten in Plaintext in allgemein zugänglichen Verzeichnissen zu speichern.

user-303
15.02.2007 14:18

wenn man sich ein bischen auskennt kann man ein verzeichnis auch ganz einfach per htaccess datei sperren...
trotz allem zum topic: ich bin der meinung, dass die logindaten in einer variable oder einer konstante am besten aufgehoben sind.
mal ganz abgesehen davon, dass sie dort praktisch schon gecached sind. es wird keine rechenzeit an sinnloses auslesen von configurationsdateien verschwendet

Avatar user-253
15.02.2007 14:22

Das ist Ansichtssache, aber vermutlich lohnt es sich nicht, hier darüber zu diskutieren

user-209
17.02.2007 20:01

Ähm hat man nicht normalerweise eine config.php die dann das enthält:


<?php
$MySQL['host'] = 'localhost';
$MySQL['user'] = 'username';
$MySQL['pass'] = 'passwort';
$MySQL['db'] = 'datenbankname';
$MySQL['prefix'] = 'pre_';
?>

Die Datei lässt sich ja nicht mal eben einlesen, dafür benötigt man Zugriff auf den Server.

Oder hab ich jetzt was komplett missverstanden?

Achja, und wer sagt dass es Verschwendung ist, dass man eine Config-Datei hat - ich find die Datei praktisch, vor allem wenn man mehrere seperate Scripte hat, dann muss man nicht bei Datenbankänderung (lokaler Testserver und fertige Onlinesite) sämtliche Dateien ändern.

Jo

Avatar user-253
17.02.2007 21:08

Original von user-209
Achja, und wer sagt dass es Verschwendung ist, dass man eine Config-Datei hat


Ja wer sagt das denn. Ich stimme dir vollkommen zu.

user-303
17.02.2007 21:11

jRothkegel:

wir diskutieren nicht *ob* eine config datei, sondern in welchem format.
ob eine php datei (wie dein beispiel) und somit direkten zugriff auf die werte, oder erst in einem anderen format wie z.b. xml, bei welchem man die config datei erst manuell außerinandernehmen muss

user-220
18.02.2007 09:40

@jRothkegel:
Du hast vergessen ein Array zu erstellen für deine Array Elemente =)
Funktionieren tuts ja, aber so ist es vom aufbau nicht richtig zwinkern

@topic:
Der Aufwand nur um die Daten anhand einer XML Datei auszulesen, ist doch wesentlich größer, als wen ich diese mit Konstanten oder einer Variable definiere. Oder sehe ich falsch?

Avatar user-253
18.02.2007 10:40

Nein, das siehst du vollkommen richtig.
Es ist sicherlich mehr Aufwand Daten aus einer (XML-) Datei einzulesen als diese direkt in einer PHP Datenstruktur zu speichern. Allerdings dürfte sich der Mehraufwand in Grenzen halten.
Wenn man einen eigenen Server hat, wäre es zumindest ein Gedanke wert, die Einstellungen für jede Subdomain direkt in den Apache zu laden - geht das eigentlich auch mit PHP Scripten?

Avatar user-300
18.02.2007 15:13

Also ich speichere die Datenbank Daten in einer PHP-Datei welche in einem geschützten Verzeichnis liegt. Wenn die restlichen Dateien nicht gerade sehr üble Sicherheitslücken aufweisen (show_source($_GET['datei']) oder derartiges) sind diese dort auch genügend gesichert lächeln

Avatar user-236
18.02.2007 18:34

geht das eigentlich auch mit PHP Scripten?


jupp, denke schon. im grunde arbeiten systeme wie confixx auch nicht viel anders, z.b. confixx spezial. ich glaube die files werden irgendwie mit dem code aus der datenbank generiert, bin mir aber auch ganz sicher, da ich kein confixx verwende.

für diesen einsatz würde sich xml aber super eignen. damit mein ich jetzt die reine generierung der conf files.

signature in progress