phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] getaddrinfo failed

Hannes Korte email at hkorte.com
Die Apr 20 17:32:33 CEST 2004

Vorherige Nachricht: [php] getaddrinfo failed
Nächste Nachricht: [php] getaddrinfo failed
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Hi René,

> >> Darin liegt das DB-Passwort, das im Script des aufrufenden
> >> Servers nicht zu finden sein soll.
> >
> > Vielleicht seh ich hier den Trick nicht, aber irgendwie finde ich
> > diese Konstruktion seltsam.
>
> Welche Alternative hätte ich denn?

Also, dein Kunde soll das Passwort nicht einfach so im Quelltext lesen
können, aber wie die anderen jetzt ja auch schon geschrieben haben, ist es
auch nicht ganz gut, das Passwort per http zu laden (langsam, unsicher).

Also gibt es die Möglichkeit, das Passwort in eine Datei zu legen, die mit
PHP erzeugt wurde und deren Rechte 600 sind, also nur von dem User gelesen
und geändert werden kann, der sie erstellt hat: apache (ist beim php-mod der
user glaub ich, oder?)
In diese Datei müsstest du mittels PHP eine Zeile wie "<?php $db_pass =
'1234'; ?>" oder so ähnlich schreiben und die mit require einbinden.

Vorteil: Es ist schnell und sicher, weil lokal.
Nachteil: Der Kunde könnte die Datei auch über PHP auslesen. (Allerdings
wirst du da nie dran vorbeikommen, weil zur Script-Laufzeit ja spätestens
beim DB-Verbindungsaufbau das Script das Passwort kennt. Und wenn dann da
jemand kommt und einmal 'echo ...' reinschreibt, kann er es auch lesen...)

Das ist nicht getestet, also keine Gewähr..

Eine andere Möglichkeit wäre es, das Passwort mit einer billigen Chiffre zu
verschlüsseln.. *g* ..Zum Beispiel mit einer kleinen Substitutionschiffre:
Dabei wird einfach der ASCII-Wert eines Zeichens mit ord() ermittelt und der
wird um einen bestimmten Wert verschoben (mod 128), dann wird mit chr()
wieder ein Zeichen draus und das wird zurückgegeben.
Ist im Prinzip ne alberne Spielerei, dafür steht ein falsches Passwort im
Klartext und wenn der Kunde versucht, sich damit bei der DB anzumelden, wird
er nicht weit kommen. Außerdem sollte das nicht allzuviel Zeit kosten. Wenn
der Kunde sich das ganze jedoch länger anguckt, wird allerdings auch er das
System durchschauen. Mit merkwürdigen Variablen- und Methodennamen kannste
aber auch da noch ein bißchen Zeit rausholen.. *g*

Allerdings gilt wieder der gleiche Nachteil wie oben: Ein einfachen 'echo
...' macht wieder alles kaputt.. hmm..

--
Viel Spaß beim Passwort verstecken,
Hannes

Vorherige Nachricht: [php] getaddrinfo failed
Nächste Nachricht: [php] getaddrinfo failed
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive