Mailinglisten-Archive |
Moin lange_(at)_sz-online.de, moin Liste lsod> Dabei sind dann einige Seiten aufgetaucht, bei denen man dann auch noch den lsod> fehlenden Rest sieht, also den Namen und das Passwort. Kaum zu glauben, aber wahr, lohnt sich, das mal nachzumachen! lsod> Wie kann man das besser machen, also das ich fuer meine DB den Namen un das lsod> Passwort nicht im direkten Quellcode eintrage, sondern das irgendwie von lsod> aussen gesetzt wird? lsod> Werden denn die PHP-Dateien eigentlich von Suchmaschinen durchforstet und lsod> finden so die Zugangsdaten zur DB? Kann da eine evtl Auslagerung in eine lsod> simple Textdatei abhilfe schaffen? Für beide Fragen die gleiche Antwort: Da Deine Scripte vom Webserver übersetzt werden, wird nie PHP Code (und darin enthaltene Daten) bei einer http Anfrage nach außen gelangen - es sei denn natürlich, Du machst einen Fehler in der Webserverkonfiguration oder vergißt beim coden, Deinen PHP Code auch korrekt als solchen zu kennzeichnen - was bei einigen der google.com Beispielen der Fall ist (bspw. www.gebraucht-waffen.de). Damit Du aber auch sichergehen kannst, daß sich keine PHP-Scripte auf auf wundersame Weise am Parser vorbei schmuggeln, legst Du includes, wie bspw. die PHP-Lib, in ein Verzeichnis, das oberhalb des Webserver roots (meist htdocs/) liegt. Damit wird ein <?php $sehr_geheim="xy"; ?> nie in der Ausgabe zu sehen sein, es sei denn natürlich, Du vertippst Dich und schreibst <?pgp $sehr_geheim="xy"; ?> o.ä. Aber das sollte eigentlich auch auffallen, BEVOR Du Dein Werk veröffentlichst :) -- Stefan Schwardt.
php::bar PHP Wiki - Listenarchive