phpbar.de logo

Mailinglisten-Archive

[php] MySQL-Passwort im Klartext in PHP-File

[php] MySQL-Passwort im Klartext in PHP-File

Mario Aeby spam at eMeidi.com
Fre Jan 16 01:26:01 CET 2004


Hallo zusammen! 

Ich habe heute ein PHP-Script auf den Server eines Kunden geladen und 
musste mit ihm vorher noch die Zugangsdaten für den MySQL-Server in das 
PHP-File aufnehmen. 

Er zeigte sich entsetzt, dass das Passwort im Klartext in der PHP-Datei 
steht und fand es fahrlässig. 

Persönlich habe ich das immer so gehandhabt, da der Web-Server so 
konfiguriert ist, dass Files nicht Word-Readable sind und nur vom 
Besitzer gelesen werden können. 

Er hat dagegen eingewendet, dass nur jemand auf den Server einbrechen 
müsse und danach alle ASCII-Files nach Passwörtern abgrasen könne, und 
schon sei man kompromittiert. Ich gab daraufhin zu bedenken, dass - 
sollte die Kiste erfolgreich gehackt werden - sowieso alles gelaufen 
wäre und die (unheiklen) Daten in der MySQL-Datenbank wohl oder übel 
dann auch gefährdet wären. 

Wie handhabt ihr so etwas? Benutzt ihr eine Pseudo- 
Verschlüsselungsfunktion (ich denke an ROT13 oder so *zwinker*) oder 
habt ihr ausgeklügeltere Schutzmechanismen? Oder auch Plain-Text- 
Kennwörter? 

Danke für das Feedback! 
Herzliche Grüsse 
Mario
--
Mario Aeby
Stritenstrasse 47
3176 Neuenegg

Mobile 078 / 690 50 11
Fax    031 / 741 28 93

http://www.eMeidi.com


php::bar PHP Wiki   -   Listenarchive