[php] FW: Sicherheit von PHP

[Michael Motzkus]

> mal ne kleine Sicherheitsfrage zwischendurch. Mal angenommen, ich
nutze
> PHP-Nuke. Dort ist in der Admin-Datei "config.php" alles wichtige
> gespeichert: Das Passwort und der Username für MySQL. Dann kann doch
> theoretisch ein Hacker die folgenden Befehle nutzen:
>
> <?php
> include ("http://www.mein-nuke-server.de/config.php");

Siehe http://www.php.net/manual/de/function.include.php.

So wie ich das sehe, ist das eine Einstellungssache in der php.ini,
damit eben das nicht passieren kann.

> echo $dbhost;   // host für nuke
> echo $dbuname;  // datenbank-username
> echo $dbpass;   // datenbank-passwort
> ?>

> Könnte er denn dann auch mit diesen Daten die Datenbank hacken und
> verändern? Das ginge dann doch auch mit allen möglichen anderen
öffentlich
> bekannten Systemen wie "phpmyadmin" etc., oder?

Das ist auch eine Einstellungssache. Du kannst Deinen DB-Server so
einrichten, dass nur von localhost darauf zugegriffen werden kann.

Mit freundlichen Grüßen


Michael Motzkus