Skocz do zawartości

[PHP/Mysql] Proste pytanie


Easeful

Rekomendowane odpowiedzi

  • Administratorzy

No gdzieś hasło trzeba niestety trzymać. Ogólnie jest tak, że najcześciej jest to plik config.php albo coś takiego (np. Wodpress). W teorii odczytać się nie powinno dać, gdyż serwer przetwarza plik PHP i zwraca tylko to co drukujemy przez echo itp., zatem w normalnym przypadku nic się nie stanie.

Ale gdy serwer miały usterkę która nie przetwarza plików PHP parserem, a zwraca je jak te HTML, to nagle dostałbyś cały kod pliku w przeglądarce. Mało prawdopodobne, ale możliwe - nie mniej mi się przez 10 lat nie zdarzyło. Należy też pamiętać, że często połączenie do bazy i tak jest możliwe tylko z danego serwera, "z wewnątrz" więc bez wgranego pliku nic wiecej nie odczytamy. Oczywiście może być phpmyadmin, ale dobry hosting powinien pytać najpierw ogółem o hasło do konta danego hostingu, a potem dopiero dopuszczać do PMA.

 

Pozstaje opcja ostatnia - dostęp do FTP. Niestety tutaj nie tylko ktoś odczyta hasło, ale też wrzuci sobie pliki które ją modyfikują nawet bez dostępu do PhpMyAdmina. Zatem jeśli ktoś włamie się na FTP, jest problem. Dlatego ważne jest tutaj mieć nie tyle skomplikowane, co długie hasło ("bardzo bardzo trudne hasło" jest trudniejsze do złamania niż "a5@$%" przy brute force ;) ).

 

Dobrą opcją jest zatem dać konfigurację powyżej folderu public_html (tzn. względem public_html/index.php, ale config jest w ../config.php). Wtedy problem z wywaleniem się serwera PHP nas nie dotyczy i hasła nikt na pewno nie zobaczy, poza włamaniem na sam serwer, ale to i tak już musztarda po obiedzie i nawet bez tego hasła może zniszczyć stronę.

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...