Roger: geschützte daten lesen?

hallo!

ich überlege, wie ich am besten meine daten für den mysql-zugriff schütze.

[1]
lege ich sie einfach in einer datei ab (daten.inc.php) kann sie doch sicherlich irgendwie heruntergeladen werden. oder? ich mein wenn ich die url in den browser eingebe, wird mir nat. nichts angezeigt. aber es gibts doch sicher tools, mit denen ich die datei herunterladen kann?

[2]
eine andere möglichkeit wäre die datei in ein per htaccess geschütztes verzeichnis zu legen. kann ich dan trotzdem von ausserhalb auf die datei zugreifen? (ich meine von meinen skripten, da die ja schliesslich die enthaltenen daten brauchen...)

[3]
die dritte wäre meines erachtens eine leseberechtigung (chmod). da ja nur dem skript angeht was drinsteht, kann ich ja zusätzlich noch eine nutzerbeschränkung (chown) machen.

oder sind alle drei vorschläge nicht die richtigen oder besser in kombination?

gruß.
roger.

  1. Hallo,

    normalerweise erhält man nichts wenn kein echo etc. erfolgt...

    besser ist es aber die datei oberhalb des domaineinsprunges zu platzieren..

    bsp.

    verzeichnis/zugang.php
    verzeichnis/homepage/index.html -->Startseite für homepage

    Odium

  2. Hallo Roger,

    [1]
    lege ich sie einfach in einer datei ab (daten.inc.php) kann sie doch sicherlich irgendwie heruntergeladen werden. oder? ich mein wenn ich die url in den browser eingebe, wird mir nat. nichts angezeigt. aber es gibts doch sicher tools, mit denen ich die datei herunterladen kann?

    nein, es gibt keine solchen Tools, eine Möglichkeit wäre zwar, dass der php-Parser ausfällt, aber das ist sehr unwarscheinlich :-)
    Ausnahme: wenn du die Inhalte mit index.php?site=impressum übergibst und dann mit include($_GET['site'].".php"); einbindest (genau so habe ich es letzt auf einer Seite gesehen) kann man jeden beliebigen Code auf deinem Server ausführen, und auch deine mysql-Daten anschauen.

    [2]
    eine andere möglichkeit wäre die datei in ein per htaccess geschütztes verzeichnis zu legen. kann ich dan trotzdem von ausserhalb auf die datei zugreifen? (ich meine von meinen skripten, da die ja schliesslich die enthaltenen daten brauchen...)

    das wäre eine Möglichkeit, ja. Da php nur auf das Filesystem zugreift, und keinen http-Request ausführt (nur dann greift .htaccess) können die Daten von php ausgelesen werden, von einem Angreifer aber nicht.

    [3]
    die dritte wäre meines erachtens eine leseberechtigung (chmod). da ja nur dem skript angeht was drinsteht, kann ich ja zusätzlich noch eine nutzerbeschränkung (chown) machen.

    das wäre auch eine Möglichkeit, allerdings ist es mir nicht gelungen die Zugriffsreche so zu setzten, dass php auf die Seiten zugreifen darf, der User von außen aber nicht :-)

    Grüße aus Nürnberg
    Tobias

    --
    sh:( fo:) ch:? rl:( br:< n4:& ie:% mo:| va:) de:] zu:) fl:( ss:| ls:[ js:|
    (Selfcode -> http://emmanuel.dammerer.at/selfcode.html)