phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] php/mysql oeffentlich anbieten

Dave Kliczbor dave.k_(at)_gmx.de
Tue, 28 Dec 1999 03:33:14 +0100

Previous message: [php] php/mysql oeffentlich anbieten
Next message: [php] php/mysql oeffentlich anbieten
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Markus Dobel wrote:
> 3. mysql-zugriff
> natuerlich muss gesichert sein, dass die user nur ihre datenbank
> manipulieren koennen. auf der anderen seite kann jeder (dank
> shell-account) nun auch mit dem commandline-mysql-client auf die db
> zugreifen. also muss das ganze passwortgeschuetzt werden. doch da liegt
> der haken... ich muss username/passwort in eine datei legen, die fuer
> den webserver lesbar ist. somit ist sie jedoch auch durch alle anderen
> irgendwie lesbar (die moeglichkeiten, die mir eingefallen sind, liessen
> die moeglichkeiten offen entweder ueber den umweg php oder aber die
> shell, das passwort zu lesen)

wie meinste das jetzt?

 - du als admin musst sämtliche user/pwd in ein file legen?
mach das file chown nobody.root (falls apache auf uid nobody läuft)
und chmod 660 (zum nobody kann man nur über root werden).
Ich wüsst aber nicht, wieso der Webserver darauf Zugrff haben muss?
MySQL verwaltet aber afaik seine user/pwd in einer eigenen DB, auf die
nur der MySQL-Admin und MySQL selbst Zugriff hat.

 - oder muss der user sein user/pwd in einem .php3-file haben?
haben die einzelnen user read-permission auf die files/dirs der
anderen user? wenn ja, ändern - directory auf chown username.nogroup
mit chmod 770

am besten wäre natürlich ein "virtual root" für jeden user, ausgehend
von seinem home-dir (d.h. beim einloggen per telnet landet der user im
seinem home, das er aber selbst als "/" sieht - d.h. er kann nicht auf
übergeordnete oder gleichgestellte dir's zugreifen).
Wie man das allerdings realisiert, kann ich nicht sagen - ich hab
diese Funktionalität im ProFTPD entdeckt und finde das eigentlich ganz
praktisch.

Jetzt kann aber noch Apache drauf zugreifen und per (fremdem)
php-Script die Files dumpen. Ich _glaube_ aber (wer's weiss: bitte
bestätigen oder abstreiten), dass man im <VirtualHost>-Bereich der
httpd.conf mit den Direktiven "User" und "Group" Apache dazu
veranlassen kann, uid/gid angepasst zu wechseln. Kann natürlich nur
klappen, wenn du pro user einen VirtualHost eingerichtet hast (und
wenn Apache das unterstützt :).

cu
 Dave

Previous message: [php] php/mysql oeffentlich anbieten
Next message: [php] php/mysql oeffentlich anbieten
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

php::bar PHP Wiki - Listenarchive