Register for your free account! | Forgot your password?

Go Back   elitepvpers > Coders Den > Web Development
You last visited: Today at 20:40

  • Please register to post and access all features, it's quick, easy and FREE!

Advertisement



Passwörter im PHP-Code

Discussion on Passwörter im PHP-Code within the Web Development forum part of the Coders Den category.

Reply
 
Old   #1
 
elite*gold: 95
Join Date: Nov 2009
Posts: 589
Received Thanks: 36
Passwörter im PHP-Code

Hallo liebe Community,

ich wollte mal fragen ob es denn wirklich absolut unproblematisch und zugleich 100% sicher ist, wenn ich Passwörter im Klartext in einer PHP-Datei (zb config.php für den SQL-Zugang) speichere oder es doch tatsächlich eine Möglichkeit gibt als Angreifer den PHP-Code einer Webseite auszulesen ?

Danke und Grüße,

Legithos



Legithos is offline  
Old 02/14/2020, 15:51   #2
 
elite*gold: 0
Join Date: Feb 2009
Posts: 1,137
Received Thanks: 567
Solang dein webserver vernünftig konfiguriert ist, ist das eigentlich kein problem. Entweder du weist deinen webserver an alle PHP dateien an PHP zu senden, dann wird der PHP code nie an den nutzer gesendet, oder du kannst wenn du wirklich sicher gehen willst den ordner mit den Config dateien einfach direkt sperren, sodass der webserver bei anfrage an diese dateien direkt 404 wirft.

Natürlich kann es noch andere Sicherheitslücken geben, z.b. kannst du über SQLinjection mittels der auslesen. Und irgendwo musst du die daten ja speichern, nicht speichern ist ja keine option. Wenn dus aber richtig machst ist das kein problem


warfley is offline  
Thanks
2 Users
Old 02/14/2020, 17:14   #3
 
elite*gold: 77
Join Date: May 2008
Posts: 5,025
Received Thanks: 5,015
Quote:
Originally Posted by warfley View Post
Solang dein webserver vernünftig konfiguriert ist, ist das eigentlich kein problem. Entweder du weist deinen webserver an alle PHP dateien an PHP zu senden, dann wird der PHP code nie an den nutzer gesendet, oder du kannst wenn du wirklich sicher gehen willst den ordner mit den Config dateien einfach direkt sperren, sodass der webserver bei anfrage an diese dateien direkt 404 wirft.

Natürlich kann es noch andere Sicherheitslücken geben, z.b. kannst du über SQLinjection mittels der auslesen. Und irgendwo musst du die daten ja speichern, nicht speichern ist ja keine option. Wenn dus aber richtig machst ist das kein problem
Sagen wir mal du bist ein 0815 Otto und verkackst regelmäßig die Zugriffsrechte, die Webserver-Konfiguration, etc.

Dann gibt es tatsächlich noch eine kleine "Stufe oben drauf", womit man seine Passwörter sicherer ablegen kann, selbst wenn man so ein Otto ist:

Man schnappt sich eine verschlüsselte Datei, da packt man seine Passwörter/Usernames rein und legt die Datei in ein Directory ab, wo definitiv kein Webserver in der Standard-Konfiguration hinkommt (z.b. unter home).

Wenn du noch sicherer gehen willst, dann kannst du auch zusätzlich alles (wichtige) verschlüsseln in der Datenbank selbst. Wenn es jemand nämlich schafft aufgrund von SQL-Injections deine DB zu dumpen, dann kann er mit den vertraulichen Inhalten dennoch nichts anfangen, weil die erst in PHP verschlüsselt/entschlüsselt werden.

Aber wie warfley schon sagte, die einfachste und beste Methode ist es deinen Server richtig zu konfigurieren und in deinem Code auf solche Sachen zu achten.

Ich kenne aber trotzdem ein paar große Medizinprodukte-Hersteller, die bei extrem kritische Sachen zusätzlich zu der "gegebenen DB Verschlüsselung" noch eine explizite Verschlüsselung der Daten machen bevor sie in die Datenbank geschrieben werden (auch wenn die Anwendungsfelder sich hier unterscheiden, da das dann kein Webserver ist sondern C++ Code und die DB in der Regel mit zum Kunden ausgeliefert werden muss).

Dennoch es gibt Fälle da wird eine doppelte Verschlüsselung angewandt, um eben eine kleine zusätzliche Hürde zu haben, sollte es doch mal jemand schaffen die Datenbank zu dumpen.
Shadow992 is offline  
Thanks
1 User
Reply



« e.target Attributes Problem | Erweitertes fetchAll() »

Similar Threads
[Selling] [CODE][/CODE][BATTLE]-✅ESP,GLOW,NO-RECOIL,FLY,TP,SILENT - AIM - IN TEST✅[CODE][/CODE]
07/21/2019 - Rainbow Six Siege Trading - 2 Replies
I'm passing here to tell you that the cheat -BattleByeR6- is the better cheat, 100% reliable. In this cheat -BatlleByeR6- there is no risk of getting banned, it will be added several other options in our cheat -BattleByeR6- ● Interested in adding contact at discord : BattleBye #9647 Or enter into our discord BattleBye : https://discord.gg/dbHUSmu Options of our cheat BattleyeR6
[Selling] [CODE][/CODE][BATTLEBYE-CHEATS]-✅ESP,GLOW,NO-RECOIL,FLY,TP,SILENT-AIM-✅ [CODE][/CODE]
07/20/2019 - Rainbow Six Siege Trading - 0 Replies
I'm passing here to tell you that the cheat -BattleByeR6- is the better cheat, 100% reliable. In this cheat -BatlleByeR6- there is no risk of getting banned, it will be added several other options in our cheat -BattleByeR6- ● Interested in adding contact at discord : BattleBye #9647 Or enter into our discord BattleBye : https://discord.gg/dbHUSmu
[Selling] [CODE][/CODE][BATTLEBYE]-✅ESP,GLOW,NO-RECOIL,FLY,TP,AIM.✅[CODE][/CODE]
07/19/2019 - Rainbow Six Siege Trading - 0 Replies
I'm passing here to tell you that the cheat -BattleByeR6- is the better cheat, 100% reliable. In this cheat -BatlleByeR6- there is no risk of getting banned, it will be added several other options in our cheat -BattleByeR6- ● Interested in adding contact at discord : BattleBye #9647 Or enter into our discord BattleBye : https://discord.gg/dbHUSmu



All times are GMT +2. The time now is 20:40.


Powered by vBulletin®
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.

BTC: 33E6kMtxYa7dApCFzrS3Jb7U3NrVvo8nsK
ETH: 0xc6ec801B7563A4376751F33b0573308aDa611E05

Support | Contact Us | FAQ | Advertising | Privacy Policy | Terms of Service | Abuse
Copyright ©2020 elitepvpers All Rights Reserved.