Skocz do zawartości
bemben1997

Zabezpieczenie PHP

Rekomendowane odpowiedzi

Witam pisze do was z zapytaniem jak zabezpieczyć plik config.PHP przed wykradnieciem gdyż w tym pliku mam dane do bazy danych i nie mogę sobie pozwolić przed wykradnieciem danych .

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

O jakim wykradaniu konkretnie mówisz? Nie ma dostępu do configu z poziomu www, a jeśli ktoś włamie Ci się na serwer to i tak prędzej czy później będzie w posiadaniu tej konfiguracji. Jedyne, co Ci pozostaje to izolacja środowiska (w przypadku shared hostingu) lub zabezpieczenie VPS-a/serwera dedykowanego we własnym zakresie. Możesz też zatrudnić do tego odpowiedniego administratora.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Tak tylko wiem ze można to wykraść :/ są jakieś zabezpieczenia tak jak w pawno te deamx :) ?

 

Nie rozumiem po co się jakoś specjalnie zabezpieczać przed tym, że ktoś może Ci wykraść dane potrzebne do połączenia się z bazą danych. Osobiście jeszcze nie miałem takiego problemu. Co Ci mogę doradzić? Jednym z takich dość "prymitywnych" sposobów(ale w moim mniemaniu skutecznych) jest przeniesienie takiego pliku do kilku katalogów oraz nadanie mu jakiegoś dziwnego ciągu kodowania tylu: fdsdf2e42f444n2n2n1m43n2234k2342342.php. Wiem, możecie się śmiać ale tak na logikę, czy "zwykłemu śmiertelnikowi" przyjdzie do głowy, żeby coś takiego wymyślać i się włamywać? 

Po drugie mogę Ci polecić profilaktyczne zmienianie hasła co jakiś czas co jest chyba rzeczą oczywistą i zrozumiałą ale warto o tym wspomnieć.

Po trzecie. Z pomocą przychodzi Ci "magiczny" plik o tajemniczej nazwie .htaccess. :) W nim możesz ustawić przekierowanie na inny adres jeśli dany użytkownik wejdzie w plik z danymi do logowania.

Możesz także zrobić tak jak napisał Brother. Ustaw Chmod na 444 dla tego pliku co jeśli się nie mylę oznacza prawa "tylko do odczytu". Po za tym jak również zostało wspomniane po wejściu w plik z danymi do logowania wyświetlona zostanie pusta, biała strona. Chyba, że posunąłeś się do skrajnej nieodpowiedzialności i printujesz wartości ze zmiennych w tym pliku :) - żarcik.

 

Także możliwości masz wiele. Ale mi się wydaje, że dopóki nie trzymasz tam jakichś tajnych informacji na temat prezydenta Obamy to nie musisz się aż tak bardzo zabezpieczać.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Nie rozumiem po co się jakoś specjalnie zabezpieczać przed tym, że ktoś może Ci wykraść dane potrzebne do połączenia się z bazą danych. Osobiście jeszcze nie miałem takiego problemu. Co Ci mogę doradzić? Jednym z takich dość "prymitywnych" sposobów(ale w moim mniemaniu skutecznych) jest przeniesienie takiego pliku do kilku katalogów oraz nadanie mu jakiegoś dziwnego ciągu kodowania tylu: fdsdf2e42f444n2n2n1m43n2234k2342342.php. Wiem, możecie się śmiać ale tak na logikę, czy "zwykłemu śmiertelnikowi" przyjdzie do głowy, żeby coś takiego wymyślać i się włamywać? 

Po drugie mogę Ci polecić profilaktyczne zmienianie hasła co jakiś czas co jest chyba rzeczą oczywistą i zrozumiałą ale warto o tym wspomnieć.

Po trzecie. Z pomocą przychodzi Ci "magiczny" plik o tajemniczej nazwie .htaccess. :) W nim możesz ustawić przekierowanie na inny adres jeśli dany użytkownik wejdzie w plik z danymi do logowania.

Możesz także zrobić tak jak napisał Brother. Ustaw Chmod na 444 dla tego pliku co jeśli się nie mylę oznacza prawa "tylko do odczytu". Po za tym jak również zostało wspomniane po wejściu w plik z danymi do logowania wyświetlona zostanie pusta, biała strona. Chyba, że posunąłeś się do skrajnej nieodpowiedzialności i printujesz wartości ze zmiennych w tym pliku :) - żarcik.

 

Także możliwości masz wiele. Ale mi się wydaje, że dopóki nie trzymasz tam jakichś tajnych informacji na temat prezydenta Obamy to nie musisz się aż tak bardzo zabezpieczać.

 

Ewolucja przyniosła nam taką rozumność, że wystarczy pomyśleć, aby szukać wg. frazy pożądany plik z konfiguracją. Nazewnictwo plików nie pomoże, i nie stanowi żadnej maski/szyfrowania, a tylko robi niepotrzebne zamieszanie. A brak .htaccess czy chmod 444 dla conf_global.php nadal nie spowoduje, że dostęp do niego będzie możliwy z www, jednak taki układ jest wskazany.

Edytowane przez Sevos

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  • Przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×