Willkommen in der Webstatt
User-1 am 14.02.07 20:57

Hi,

ist es unsicher, bzw. gibt es eine bessere/sicherere Methode als die mysql logindaten für ein script einfach in konstanten zu speichern?

netcup.de Warum gibt es hier Werbung?
User-2 am 14.02.07 21:13

Mit Konstanten, sollte es doch eig. recht gut sein. Denn einmal etwas definiertes kann man nicht ändern =)
Aber Variablen hingegen doch, also würde ich auch Persönlich ehr Konstanten nutzen - denn diese brauchst auch nicht Global setzen o.ä. Aber ist ja ansichtssache ;)

User-3 am 14.02.07 21:16

Hmm in der Regel speichere ich die Logindaten nie.
An einer Stelle lese ich sie irgendwie ein (XML Datei, Config Datei,...) und initialisiere eine Datenbankklasse, die dann im ganzen Programm benutzt wird.

Warum die Daten irgendwo speichern

User-4 am 14.02.07 21:18

Trotzdem hinterlegst du die Daten ja. In einem Config-File wäre das dann auch wieder auslesbar.

User-5 am 14.02.07 21:22

wenn man nciht ganz genau tut, würde ich stengstens von der speicherung sensibler daten in xml / ini etc. dateien abraten!
wer den dateiname weis, und der coder keine zugriffssperren eingebaut hat, hat er die daten!
bei variablen / constanten kann das nicht passieren...abgesehen von einem 'server fehler' natürlich

User-6 am 14.02.07 21:26

die Daten könntest du auch noch außerhalb der Document Root ablegen.

User-1 am 14.02.07 21:33

Gut, dachte Häcker könnten vielleciht die daten ohne prbleme auslesen, aber wenn ich recht überlege kanns ja nicht sein, da müssten sie sich schon auf den server einhacken oder?...

User-5 am 14.02.07 21:33

gestaltet sich bei normalen webspace angeboten meist recht schwierig

User-7 am 14.02.07 21:58

Quote
Original von xyz-179
Gut, dachte Häcker könnten vielleciht die daten ohne prbleme auslesen, aber wenn ich recht überlege kanns ja nicht sein, da müssten sie sich schon auf den server einhacken oder?...

wenn du es als xml speicherst...dann werde sie klartext ausgegeben wenn du den direkten pfad kennst....

User-2 am 14.02.07 23:23

Unter anderem leider ja... >.<, d.h. lieber Konstanten oder Variablen =)

User-1 am 14.02.07 23:32

Quote
Original von xyz-193
gestaltet sich bei normalen webspace angeboten meist recht schwierig

Ist klar, aber müsste man theoretisch machen um meine Daten zu bekommen oder?!

Quote
Original von xyz-161
[quote]Original von xyz-179
Gut, dachte Häcker könnten vielleciht die daten ohne prbleme auslesen, aber wenn ich recht überlege kanns ja nicht sein, da müssten sie sich schon auf den server einhacken oder?...

wenn du es als xml speicherst...dann werde sie klartext ausgegeben wenn du den direkten pfad kennst....[/quote]
Ist ausser bei xyz-141el ja nicht die rede von :rolleyes:

User-7 am 14.02.07 23:42

Quote

[quote]Original von xyz-161
[quote]Original von xyz-179
Gut, dachte Häcker könnten vielleciht die daten ohne prbleme auslesen, aber wenn ich recht überlege kanns ja nicht sein, da müssten sie sich schon auf den server einhacken oder?...

wenn du es als xml speicherst...dann werde sie klartext ausgegeben wenn du den direkten pfad kennst....[/quote]
Ist ausser bei xyz-141el ja nicht die rede von :rolleyes:[/quote]
naja...michael hat es erwähnt xyz-193 hat es wieder aufgefasst, und dann kam das mit den Hackern...und dann dachte ihc mir...da musste nichtmal ein super ober toller hacker sein, dass kann auch ein Script Kiddi, wenn du es als xml speicherst :P wollte ich nur so mal sagen...

User-1 am 15.02.07 00:02

Quote
Original von xyz-161
[quote]
[quote]Original von xyz-161
[quote]Original von xyz-179
Gut, dachte Häcker könnten vielleciht die daten ohne prbleme auslesen, aber wenn ich recht überlege kanns ja nicht sein, da müssten sie sich schon auf den server einhacken oder?...

wenn du es als xml speicherst...dann werde sie klartext ausgegeben wenn du den direkten pfad kennst....[/quote]
Ist ausser bei xyz-141el ja nicht die rede von :rolleyes:[/quote]
naja...michael hat es erwähnt xyz-193 hat es wieder aufgefasst, und dann kam das mit den Hackern...und dann dachte ihc mir...da musste nichtmal ein super ober toller hacker sein, dass kann auch ein Script Kiddi, wenn du es als xml speicherst :P wollte ich nur so mal sagen...[/quote]
Ich verzeih dir :-* ^^

User-3 am 15.02.07 13:09

Quote
Original von xyz-58
Trotzdem hinterlegst du die Daten ja. In einem Config-File wäre das dann auch wieder auslesbar.


So ein Schmarrn. Wäre eine Configdatei in einem vom WWW zugänglichen Pfad speichert ist selbst dran schuld. Davon redet aber hoffentlich auch keiner. Vernünftigerweise speichert man dies einfach eine Ebene darunter und schon gibt es gar keine Probleme.

Moonsword, zumindest von dir hätte ich ein wenig Mitdenken erwartet.

User-4 am 15.02.07 14:29

Öhm, sehr praxistauglich, wenn man bedenkt, dass wohl nur die wenigsten hier einen eigenen Webserver haben. Bei Webspace-Angeboten dürfte sich das nämlich meistens wie oben beschrieben sehr schwierig gestalten.

User-3 am 15.02.07 14:44

Wo kann man denn bitte nicht auf eine Ebene unterhalb der htdocs zugreifen? Selbst bei meinem ganz normalen Hoster geht das problemlos.
Wer das nicht kann sollte nicht weinen sondern lieber einen gescheiten Hoster suchen.

User-8 am 15.02.07 14:48

bei All-Inkl liegen die ACCs in htdocs/benutzerid/, glaube ich. Ist All-Inkl etwa nicht gescheit? Ich meine, in der Praxis sollten wir schon von Shared- Hosting reden, hat ja nicht jeder einen Server, oder?

User-5 am 15.02.07 14:48

z.b. 99% der freehoster

User-3 am 15.02.07 15:08

Freehoster verdienen keinen Kommentar.
Ansonsten bin ich persönlich der Meinung, dass es zu einem vernünftigen Angebot gehört, Dokumente außerhalb des WWW Verzeichnisses zu speichern. Also Ja. Wenn das bei all-inkl nicht geht, ist das Angebot für mich nicht gescheit. Es geht ja auch anders - auch bei ganz normalen Hostern.

Im Übrigen ging es mir nur darum, darauf hinzuweisen, dass ich auf keinen Fall meinte, MySQL Daten in Plaintext in allgemein zugänglichen Verzeichnissen zu speichern.

User-5 am 15.02.07 15:18

wenn man sich ein bischen auskennt kann man ein verzeichnis auch ganz einfach per htaccess datei sperren...
trotz allem zum topic: ich bin der meinung, dass die logindaten in einer variable oder einer konstante am besten aufgehoben sind.
mal ganz abgesehen davon, dass sie dort praktisch schon gecached sind. es wird keine rechenzeit an sinnloses auslesen von configurationsdateien verschwendet

User-3 am 15.02.07 15:22

Das ist Ansichtssache, aber vermutlich lohnt es sich nicht, hier darüber zu diskutieren

User-9 am 17.02.07 21:01

Ähm hat man nicht normalerweise eine config.php die dann das enthält:

<?php
$MySQL['host'] = 'localhost';
$MySQL['user'] = 'username';
$MySQL['pass'] = 'passwort';
$MySQL['db'] = 'datenbankname';
$MySQL['prefix'] = 'pre_';
?>

Die Datei lässt sich ja nicht mal eben einlesen, dafür benötigt man Zugriff auf den Server.

Oder hab ich jetzt was komplett missverstanden?

Achja, und wer sagt dass es Verschwendung ist, dass man eine Config-Datei hat - ich find die Datei praktisch, vor allem wenn man mehrere seperate Scripte hat, dann muss man nicht bei Datenbankänderung (lokaler Testserver und fertige Onlinesite) sämtliche Dateien ändern.

Jo

User-3 am 17.02.07 22:08

Quote
Original von xyz-99
Achja, und wer sagt dass es Verschwendung ist, dass man eine Config-Datei hat


Ja wer sagt das denn. Ich stimme dir vollkommen zu.

User-5 am 17.02.07 22:11

xyz-99:

wir diskutieren nicht *ob* eine config datei, sondern in welchem format.
ob eine php datei (wie dein beispiel) und somit direkten zugriff auf die werte, oder erst in einem anderen format wie z.b. xml, bei welchem man die config datei erst manuell außerinandernehmen muss

User-2 am 18.02.07 10:40

@xyz-99:
Du hast vergessen ein Array zu erstellen für deine Array Elemente =)
Funktionieren tuts ja, aber so ist es vom aufbau nicht richtig ;)

@topic:
Der Aufwand nur um die Daten anhand einer XML Datei auszulesen, ist doch wesentlich größer, als wen ich diese mit Konstanten oder einer Variable definiere. Oder sehe ich falsch?

User-3 am 18.02.07 11:40

Nein, das siehst du vollkommen richtig.
Es ist sicherlich mehr Aufwand Daten aus einer (XML-) Datei einzulesen als diese direkt in einer PHP Datenstruktur zu speichern. Allerdings dürfte sich der Mehraufwand in Grenzen halten.
Wenn man einen eigenen Server hat, wäre es zumindest ein Gedanke wert, die Einstellungen für jede Subdomain direkt in den Apache zu laden - geht das eigentlich auch mit PHP Scripten?

User-10 am 18.02.07 16:13

Also ich speichere die Datenbank Daten in einer PHP-Datei welche in einem geschützten Verzeichnis liegt. Wenn die restlichen Dateien nicht gerade sehr üble Sicherheitslücken aufweisen (show_source($_GET['datei']) oder derartiges) sind diese dort auch genügend gesichert :)

User-6 am 18.02.07 19:34

Quote
geht das eigentlich auch mit PHP Scripten?


jupp, denke schon. im grunde arbeiten systeme wie confixx auch nicht viel anders, z.b. confixx spezial. ich glaube die files werden irgendwie mit dem code aus der datenbank generiert, bin mir aber auch ganz sicher, da ich kein confixx verwende.

für diesen einsatz würde sich xml aber super eignen. damit mein ich jetzt die reine generierung der conf files.

Creative Commons Lizenzvertrag
Alle Inhalte des Webstatt-Archivs stehen unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Unported Lizenz.

Impressum & Kontakt