Willkommen in der Webstatt Zum Webstatt Blog und Stories
Remo1234 Remo1234 am 14.02.07 20:57

Hi,

ist es unsicher, bzw. gibt es eine bessere/sicherere Methode als die mysql logindaten für ein script einfach in konstanten zu speichern?

netcup.de Warum gibt es hier Werbung?
Kevz am 14.02.07 21:13

Mit Konstanten, sollte es doch eig. recht gut sein. Denn einmal etwas definiertes kann man nicht ändern =)
Aber Variablen hingegen doch, also würde ich auch Persönlich ehr Konstanten nutzen - denn diese brauchst auch nicht Global setzen o.ä. Aber ist ja ansichtssache ;)

Michael Michael am 14.02.07 21:16

Hmm in der Regel speichere ich die Logindaten nie.
An einer Stelle lese ich sie irgendwie ein (XML Datei, Config Datei,...) und initialisiere eine Datenbankklasse, die dann im ganzen Programm benutzt wird.

Warum die Daten irgendwo speichern

Dustwolf Dustwolf am 14.02.07 21:18

Trotzdem hinterlegst du die Daten ja. In einem Config-File wäre das dann auch wieder auslesbar.

Snake am 14.02.07 21:22

wenn man nciht ganz genau tut, würde ich stengstens von der speicherung sensibler daten in xml / ini etc. dateien abraten!
wer den dateiname weis, und der coder keine zugriffssperren eingebaut hat, hat er die daten!
bei variablen / constanten kann das nicht passieren...abgesehen von einem 'server fehler' natürlich

mab mab am 14.02.07 21:26

die Daten könntest du auch noch außerhalb der Document Root ablegen.

Remo1234 Remo1234 am 14.02.07 21:33

Gut, dachte Häcker könnten vielleciht die daten ohne prbleme auslesen, aber wenn ich recht überlege kanns ja nicht sein, da müssten sie sich schon auf den server einhacken oder?...

Snake am 14.02.07 21:33

gestaltet sich bei normalen webspace angeboten meist recht schwierig

nuit nuit am 14.02.07 21:58

Quote
Original von Remo1234
Gut, dachte Häcker könnten vielleciht die daten ohne prbleme auslesen, aber wenn ich recht überlege kanns ja nicht sein, da müssten sie sich schon auf den server einhacken oder?...

wenn du es als xml speicherst...dann werde sie klartext ausgegeben wenn du den direkten pfad kennst....

Kevz am 14.02.07 23:23

Unter anderem leider ja... >.<, d.h. lieber Konstanten oder Variablen =)

Remo1234 Remo1234 am 14.02.07 23:32

Quote
Original von Snake
gestaltet sich bei normalen webspace angeboten meist recht schwierig

Ist klar, aber müsste man theoretisch machen um meine Daten zu bekommen oder?!

Quote
Original von nuit
[quote]Original von Remo1234
Gut, dachte Häcker könnten vielleciht die daten ohne prbleme auslesen, aber wenn ich recht überlege kanns ja nicht sein, da müssten sie sich schon auf den server einhacken oder?...

wenn du es als xml speicherst...dann werde sie klartext ausgegeben wenn du den direkten pfad kennst....[/quote]
Ist ausser bei Michael ja nicht die rede von :rolleyes:

nuit nuit am 14.02.07 23:42

Quote

[quote]Original von nuit
[quote]Original von Remo1234
Gut, dachte Häcker könnten vielleciht die daten ohne prbleme auslesen, aber wenn ich recht überlege kanns ja nicht sein, da müssten sie sich schon auf den server einhacken oder?...

wenn du es als xml speicherst...dann werde sie klartext ausgegeben wenn du den direkten pfad kennst....[/quote]
Ist ausser bei Michael ja nicht die rede von :rolleyes:[/quote]
naja...michael hat es erwähnt Snake hat es wieder aufgefasst, und dann kam das mit den Hackern...und dann dachte ihc mir...da musste nichtmal ein super ober toller hacker sein, dass kann auch ein Script Kiddi, wenn du es als xml speicherst :P wollte ich nur so mal sagen...

Remo1234 Remo1234 am 15.02.07 00:02

Quote
Original von nuit
[quote]
[quote]Original von nuit
[quote]Original von Remo1234
Gut, dachte Häcker könnten vielleciht die daten ohne prbleme auslesen, aber wenn ich recht überlege kanns ja nicht sein, da müssten sie sich schon auf den server einhacken oder?...

wenn du es als xml speicherst...dann werde sie klartext ausgegeben wenn du den direkten pfad kennst....[/quote]
Ist ausser bei Michael ja nicht die rede von :rolleyes:[/quote]
naja...michael hat es erwähnt Snake hat es wieder aufgefasst, und dann kam das mit den Hackern...und dann dachte ihc mir...da musste nichtmal ein super ober toller hacker sein, dass kann auch ein Script Kiddi, wenn du es als xml speicherst :P wollte ich nur so mal sagen...[/quote]
Ich verzeih dir :-* ^^

Michael Michael am 15.02.07 13:09

Quote
Original von Dustwolf
Trotzdem hinterlegst du die Daten ja. In einem Config-File wäre das dann auch wieder auslesbar.


So ein Schmarrn. Wäre eine Configdatei in einem vom WWW zugänglichen Pfad speichert ist selbst dran schuld. Davon redet aber hoffentlich auch keiner. Vernünftigerweise speichert man dies einfach eine Ebene darunter und schon gibt es gar keine Probleme.

Moonsword, zumindest von dir hätte ich ein wenig Mitdenken erwartet.

Dustwolf Dustwolf am 15.02.07 14:29

Öhm, sehr praxistauglich, wenn man bedenkt, dass wohl nur die wenigsten hier einen eigenen Webserver haben. Bei Webspace-Angeboten dürfte sich das nämlich meistens wie oben beschrieben sehr schwierig gestalten.

Michael Michael am 15.02.07 14:44

Wo kann man denn bitte nicht auf eine Ebene unterhalb der htdocs zugreifen? Selbst bei meinem ganz normalen Hoster geht das problemlos.
Wer das nicht kann sollte nicht weinen sondern lieber einen gescheiten Hoster suchen.

Barabbas Barabbas am 15.02.07 14:48

bei All-Inkl liegen die ACCs in htdocs/benutzerid/, glaube ich. Ist All-Inkl etwa nicht gescheit? Ich meine, in der Praxis sollten wir schon von Shared- Hosting reden, hat ja nicht jeder einen Server, oder?

Snake am 15.02.07 14:48

z.b. 99% der freehoster

Michael Michael am 15.02.07 15:08

Freehoster verdienen keinen Kommentar.
Ansonsten bin ich persönlich der Meinung, dass es zu einem vernünftigen Angebot gehört, Dokumente außerhalb des WWW Verzeichnisses zu speichern. Also Ja. Wenn das bei all-inkl nicht geht, ist das Angebot für mich nicht gescheit. Es geht ja auch anders - auch bei ganz normalen Hostern.

Im Übrigen ging es mir nur darum, darauf hinzuweisen, dass ich auf keinen Fall meinte, MySQL Daten in Plaintext in allgemein zugänglichen Verzeichnissen zu speichern.

Snake am 15.02.07 15:18

wenn man sich ein bischen auskennt kann man ein verzeichnis auch ganz einfach per htaccess datei sperren...
trotz allem zum topic: ich bin der meinung, dass die logindaten in einer variable oder einer konstante am besten aufgehoben sind.
mal ganz abgesehen davon, dass sie dort praktisch schon gecached sind. es wird keine rechenzeit an sinnloses auslesen von configurationsdateien verschwendet

Michael Michael am 15.02.07 15:22

Das ist Ansichtssache, aber vermutlich lohnt es sich nicht, hier darüber zu diskutieren

jRothkegel am 17.02.07 21:01

Ähm hat man nicht normalerweise eine config.php die dann das enthält:

<?php
$MySQL['host'] = 'localhost';
$MySQL['user'] = 'username';
$MySQL['pass'] = 'passwort';
$MySQL['db'] = 'datenbankname';
$MySQL['prefix'] = 'pre_';
?>

Die Datei lässt sich ja nicht mal eben einlesen, dafür benötigt man Zugriff auf den Server.

Oder hab ich jetzt was komplett missverstanden?

Achja, und wer sagt dass es Verschwendung ist, dass man eine Config-Datei hat - ich find die Datei praktisch, vor allem wenn man mehrere seperate Scripte hat, dann muss man nicht bei Datenbankänderung (lokaler Testserver und fertige Onlinesite) sämtliche Dateien ändern.

Jo

Michael Michael am 17.02.07 22:08

Quote
Original von jRothkegel
Achja, und wer sagt dass es Verschwendung ist, dass man eine Config-Datei hat


Ja wer sagt das denn. Ich stimme dir vollkommen zu.

Snake am 17.02.07 22:11

jRothkegel:

wir diskutieren nicht *ob* eine config datei, sondern in welchem format.
ob eine php datei (wie dein beispiel) und somit direkten zugriff auf die werte, oder erst in einem anderen format wie z.b. xml, bei welchem man die config datei erst manuell außerinandernehmen muss

Kevz am 18.02.07 10:40

@jRothkegel:
Du hast vergessen ein Array zu erstellen für deine Array Elemente =)
Funktionieren tuts ja, aber so ist es vom aufbau nicht richtig ;)

@topic:
Der Aufwand nur um die Daten anhand einer XML Datei auszulesen, ist doch wesentlich größer, als wen ich diese mit Konstanten oder einer Variable definiere. Oder sehe ich falsch?

Michael Michael am 18.02.07 11:40

Nein, das siehst du vollkommen richtig.
Es ist sicherlich mehr Aufwand Daten aus einer (XML-) Datei einzulesen als diese direkt in einer PHP Datenstruktur zu speichern. Allerdings dürfte sich der Mehraufwand in Grenzen halten.
Wenn man einen eigenen Server hat, wäre es zumindest ein Gedanke wert, die Einstellungen für jede Subdomain direkt in den Apache zu laden - geht das eigentlich auch mit PHP Scripten?

sili sili am 18.02.07 16:13

Also ich speichere die Datenbank Daten in einer PHP-Datei welche in einem geschützten Verzeichnis liegt. Wenn die restlichen Dateien nicht gerade sehr üble Sicherheitslücken aufweisen (show_source($_GET['datei']) oder derartiges) sind diese dort auch genügend gesichert :)

mab mab am 18.02.07 19:34

Quote
geht das eigentlich auch mit PHP Scripten?


jupp, denke schon. im grunde arbeiten systeme wie confixx auch nicht viel anders, z.b. confixx spezial. ich glaube die files werden irgendwie mit dem code aus der datenbank generiert, bin mir aber auch ganz sicher, da ich kein confixx verwende.

für diesen einsatz würde sich xml aber super eignen. damit mein ich jetzt die reine generierung der conf files.

Creative Commons Lizenzvertrag
Alle Inhalte des Webstatt-Archivs stehen unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Unported Lizenz.

Impressum & Kontakt