Kan php koden leses av hvem som helst?

[Drittsekken]

Kan php koden leses av hvem som helst?

Hvis man f.eks. i php koden setter inn brukernavn og passord til en MySQL kobling, vil da hvem som helst lese det da?

Må dette krypteres?

Hvordan?

[Matsemann]

Ingen kan lese det, hvis du i en PHP kode skriver <?php echo "<p>hei!</p>"; ?> Vil brukeren se: hei!, mens det i kildekoden kun vil stå <p>hei!</p>.

Så all kode blir kjørt på serveren, som gir HTML, CSS, et bilde eller hva det skal være, men de får i hvert fall ikke tak i PHP-kodene bak.

 

EDIT: Du og her dabear

Endret 1. mars 2006 av matsemann1

[dabear]

Dette er en svakhet i php. Dersom phpparseren crasher (men apache er oppe fortsatt), vil det være mulig å se passordet. Kan være lurt å plassere tilkobling osv med passord utafor webrota, og så inkludere den.

[Drittsekken]

Dette er en svakhet i php. Dersom phpparseren crasher (men apache er oppe fortsatt), vil det være mulig å se passordet. Kan være lurt å plassere tilkobling osv med passord utafor webrota, og så inkludere den.

5683227[/snapback]

 

Hvordan?

Er ganske fersk med dette.

[dabear]

Tja, la oss si index.php ligger under /var/www/dritsekken/public_html/ . Da legger du MysqlConnectionClass.php under /var/www/drittsekken og i index.php kjører du da

<?php
require_once '../MysqlConnectionClass.php';
/*
din kode
*/
?>

[Drittsekken]

OK, forstår.

 

Men...

jeg har webserveren hos www.b-one.net og tror ikke jeg har tilgang til noe som ikke er public.

[Matsemann]

Nei, du har ikke det.

Har i hvert fall aldri jeg funnet.

Du logger jo inn på ftp.dittdomene.tld, og da havner du rett i public mappen, og du kan ikke gå oppover :?

[Drittsekken]

Nei jeg kan ikke gå oppover.

[Drittsekken]

Hvor stor er sannsynligheten for at phpparseren krasjer?

Kan jeg anse det som trygt nok å ha passordet i koden?

Er det noen forskjell å lagre det i en variabel eller å skrive det kun direkte i mysql_connect funksjonen?

[Magnus Holm]

Liten

Ja

Nei

 

(Hva mener dere andre?)

[kakkle]

Men går det ikke å nekte å tilgang via apache i den mappen, da...

 

F.eks:

Denne filen legges i include mappen:

<Limit GET POST>
Order allow,deny
deny from all
</Limit>

Eller vil ikke det fungere som tenkt ?

 

EDIT: Funker bra hos meg...

Endret 1. mars 2006 av kakkle

[Arne]

Kva filtype, kakkle?

[kakkle]

Legger en .htaccess fil i den katalogen som skal beskyttes.

Det er en forutsetning at det er lov å overstyre htaccess instillinger da... MEn det tror jeg de fleste webhoster har tillatt...

[Martin A.]

Det bør da virkelig folka bak PHP(evnt Zend) og Apache tenkt på når de har utviklet det.

 

Om php hadde kræsja, så bør apache merke det, og dermed ikke kjøre noen filer som inneholder sensistiv kode. Dvs alt som har med php å gjøre.

 

Om de ikke gjør det, er de helt bak mål.

[Matsemann]

Sjansen er nok heller liten for at noe skjer, så du behøver ikke tenke så mye på det, da 10000vis av sider gjør det på den enkle måten.

Du må bare validere input fra brukeren, tenk heller på det.