phpbar.de logo

Mailinglisten-Archive

please hack me ??? - MySQL-Paßwort bei PHP-Apache
Archiv Mailingliste mysql-de

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

please hack me ??? - MySQL-Paßwort bei PHP-Apache



Hallo all,

*mal wieder aus ihre nur-leseecke vorkriech*

also ich grübele gerade so vor mich hin aBär da hier ja viele sicher das gleiche Problem haben/hatten UND hier ja auch Leute lesen, die sich auch mit Apache - Firewalls etc sehr gut auskennen (winke den 'little-idiot'en *kicher .-), denke ich ist die Frage hier trotzdem richtig, auch wenn Sie mehr zu Apache und PHP gehört.
(also reine SQLer weghören .-)

also:

in den PHP-Scripten kommt es ja ab und an mal vor, daß da ein User und ein Paßwort drin steht ...

zB.:   mysql_connect("","dau-user","xxxxxx");

und nun liegt dieses PHP-Script auf einem Webserver und hat es sich da so richtig gemütlich gemacht, ab und an wird es mal aufgerufen und tut dann mal was ... aber ansonsten liegts da nur sooo rum ...

nun kommt ein böser "Bug" oder "Erdenbürger" daher und bastelt was am Apache, egal was, jedenfalls tuts des PHP hinterher nimmer ... so und was passiert ???

der Apache kann des PHP nicht mehr ausführen, und denkt sich egal... soll sich doch der Browser/Client drum kümmern, und schickt ihm ne Kopie der PHP-Datei...

schön, weil darin steht das "Paßwort" und der "User" für die Datenbank im Klartext !!!!!
.-(

Frage:
wie kann ich verhindern, daß mein User samt Paßwort durch die weite Welt reist, anstatt auf dem Server zu bleiben ?????

?  kann ich dem Apache sagen, "wenn du PHP nicht ausführen kannst, dann schick einfach FEHLER statt dem Script" (jaja ich weiß des is ncoh nich apach'isch .-)

? des User / Paßwort irgendwie so hinlegen, daß es eben nicht drin steht beim ausliefern - ahhhhhhh.... *schreiben anMailinglist hilft .-)*

--> dabei fällt mir nämlich ein - klar, ich "include" die Zeile mit dem User /Paßwort und wenn er PHP nicht kann, kann er ja auch nicht includen .-)), allerdings muß man das "include" dann so hinlegen, daß man es über den Webserver nicht aufrufen kann (außerhalb der Webserver-DocumentenRoot), denn der Pfad zum "include" steht ja wieder in der ausgelieferten PHP-Datein drin .-) und könnte ja dann als nächstes über den Browser aufgerufen werden .-)) samt User/Paßwort Inhalt
 
Hat sich wer dazu schonmal Gedanken gemacht und ne Lösung gefunden ???? wäre über nen Hinweis dankbar .-)) 

*des mit dem "include" jetzt mal ausprobiert*
(ahhh es geht .-)) ... also betrachtet diese Mail als Hinweis ...

aBär die Frage mit dem Apache bleibt .-)) so Interesse halber

die udeeeeee


(die nämlich auf einen Rechner 2 verschiedene Apachen mit 2 verschiedenen PHP's basteln wollte, die die gleiche DocumentenRoot haben; und dabei ausversehen einen Apachen hatte der kein PHP konnte .-)
______________________________________________________________________________
Die Fachpresse ist sich einig: WEB.DE 20mal Testsieger! Kostenlos E-Mail, 
Fax, SMS, Verschlüsselung, POP3, WAP....testen Sie uns! http://freemail.web.de

---
*** Weitere Infos zur Mailingliste und MySQL unter http://www.4t2.com/mysql 


Home | Main Index | Thread Index

php::bar PHP Wiki   -   Listenarchive