Krypere mySQL passord?

[nree]

Er det mulig å krypere mySQL passordet?

Slik det er nå er det åpent for alle vist PHP svikter..

[abcd423417984]

du kan jo gjøre en av følgende for å hindre det:

 

- legge passordet i en fil som ligger UTENFOR www-folderen

- tillate tilkoblinger til mysql KUN fra localhost

[nree]

hmm, utenfor www folderen ja..

Så da må jeg ha hele /home ..... osv ?

[nree]

Takk, funka fint

[Gjest Slettet+6132]

Nå er ikke akkurat "krypere" et kjent ord for meg (mangler muligens en t?), men her er noen løsninger:

 

- Legge config utenfor ditt www-område

- Bruke .htaccess for å nekte adgang til .inc.php-filer

- Sette opp din MySQL-bruker slik at den bare fungerer fra localhost, eventuelt med et annet passord fra alle andre hoster.

[????????]

Det begynner heldigvis å bli få hoster som tillater eksterntilkobling til MySQL. På et webhotell er dette desverre noe du har lite kontroll over, men pass i alle fall på at brukerene dine til mysql ikke har flere rettigheter enn de behøver. Skal du kun legge til og hente data fra MySQL i scriptet ditt så er det lite poeng å la brukeren kunne slette data, uppdatere data, eller verre: legge til nye brukere.

 

To av de vanligste metodene er nevnt ovenfor:

1. plassere config/passord filen utenfor webområdet

2. legge den i en mappe som er beskyttet med .htaccess (eventuelt gi filen andre rettigheter)

3. det er også mulig å rett og slett kryptere filen med Zend SafeGuard eller ioncube.

 

Problemet er at alle disse har sine svakheter:

Løsning 1 er avhengig av at php brukeren på serveren får bruke filer plassert utenfor området. Når du bytter webhotell kan dette bli en konflikt.

 

Løsning 2 er forutsetter at du kan bruke .htaccess (apache). Igjen kan det oppstå problemer om du bytter webhotell.

 

Til slutt er også løsning 3 avhengig av ditt webhotell, i formen av at den har Zend Optimizer innstalert (eventuelt korrekt OS i forhold til ioncube fil).

 

 

Løsninger finnes, bare du tar hensyn til dette når du en gang bytter webhotell så er nok ikke utfordringen så stor. Bare ikke glem det!

[Gjest Slettet-df17e]

Hvorfor legge passordet i ei fil uten for www-foldern ? Dersom man sitter på et webhotell har man mest sannsynlig ikke tilgang til det. Det man da kan gjøre: Lag ei skjult fil. ".passordfil.txt" den vil ikke kunne hentes ifra nettlesern. Dette funker da kun på Linux.

 

EDIT: Jeg klarer ikke å skrive

Endret 27. mars 2006 av Slettet-df17e

[trondes]

De fleste webhotell jeg har sett har da en public_html eller en httpdocs mappe der html sidene er lagret. Så hvis du lagrer noe utenfor dem så er det ikke tilgjengelig på nettet.

 

Er vel heler ingen ( som jeg vet om) der du bare har tilgang til mappen du skal legge html filene i.

[neivoll]

*Kremt*

Hos web10.nu har du kun tilgang til public-folderen. Det er da også den eneste plassen jeg vet om.

Bruker .htaccess til å beskytte dem med, funker kjempefint.

[nree]

Har tillgang til hele serveren

[Magnus Holm]

Apache skjuler alle filer som begynner .ht

Bare kall fila for .htpassord, så blir den skjult for allmenheten

[nree]

Skal huske på det