Mailinglisten-Archive |
Moin lange_(at)_sz-online.de, moin Liste lsod> Dabei sind dann einige Seiten aufgetaucht, bei denen man dann auch noch den lsod> fehlenden Rest sieht, also den Namen und das Passwort. Kaum zu glauben, aber wahr, lohnt sich, das mal nachzumachen! lsod> Wie kann man das besser machen, also das ich fuer meine DB den Namen un das lsod> Passwort nicht im direkten Quellcode eintrage, sondern das irgendwie von lsod> aussen gesetzt wird? lsod> Werden denn die PHP-Dateien eigentlich von Suchmaschinen durchforstet und lsod> finden so die Zugangsdaten zur DB? Kann da eine evtl Auslagerung in eine lsod> simple Textdatei abhilfe schaffen? F�r beide Fragen die gleiche Antwort: Da Deine Scripte vom Webserver �bersetzt werden, wird nie PHP Code (und darin enthaltene Daten) bei einer http Anfrage nach au�en gelangen - es sei denn nat�rlich, Du machst einen Fehler in der Webserverkonfiguration oder vergi�t beim coden, Deinen PHP Code auch korrekt als solchen zu kennzeichnen - was bei einigen der google.com Beispielen der Fall ist (bspw. www.gebraucht-waffen.de). Damit Du aber auch sichergehen kannst, da� sich keine PHP-Scripte auf auf wundersame Weise am Parser vorbei schmuggeln, legst Du includes, wie bspw. die PHP-Lib, in ein Verzeichnis, das oberhalb des Webserver roots (meist htdocs/) liegt. Damit wird ein <?php $sehr_geheim="xy"; ?> nie in der Ausgabe zu sehen sein, es sei denn nat�rlich, Du vertippst Dich und schreibst <?pgp $sehr_geheim="xy"; ?> o.�. Aber das sollte eigentlich auch auffallen, BEVOR Du Dein Werk ver�ffentlichst :) -- Stefan Schwardt.
php::bar PHP Wiki - Listenarchive