Доступ к паролям - PHP

Ertoff · 14.01.2012, 22:52

Беспокоит следующий вопрос
На сайте в одной из директорий есть папка с паролем к БД
Попасть в этот файл скорее всего нельзя простому человеку, но немного шарящему в делах вебмастерских не составит думаю труда найти этот файл и как следствие получить доступ к паролю, а значит и есть риск, что стащат мою БД.
вопрос как защитить БД, полагаю, что есть вариант запаролить доступ к файлу с паролем, но к нему обращаются почти все страницы сайта и как следствие страницы то тоже должны иметь доступ, а как они его получат?
короче вопрос - как защитить БД

spein · 14.01.2012, 23:28

не хранить пароль в файле. а если уж так надо то в папку с файлом скинуть файл .htaccess с таким содержанием:

Код:

<Files название.расширение>
deny from all
</Files>

iankov · 15.01.2012, 00:12

обычно пароли хранятся в файлах типа .php, по урлу содержимое php файла просмотреть не удастся. Нужен только фтп доступ, что бы содержимое файла прочитать, но имея фтп уже считай что имеешь доступ ко всему сайту.

Ertoff · 15.01.2012, 18:30

Цитата:

Сообщение от iankov

обычно пароли хранятся в файлах типа .php, по урлу содержимое php файла просмотреть не удастся. Нужен только фтп доступ, что бы содержимое файла прочитать, но имея фтп уже считай что имеешь доступ ко всему сайту.

И правда, не подумал даже что php не откроется так просто
Т.е. фактически стащить БД можно только стащим доступ в фтп?
Однако если на фтп доступ запрещен для всех и я использую только ssh клиенты (winscp), то стащить можно только стащим пароль к ssh?

iankov · 15.01.2012, 21:50

да, стащить можно только если имеешь доступ к файлам, что бы их скачать.
Или же если настройки сервера будут не корректным, если пхп файлы вдруг перестанут исполнятся и начнут просто выводится как текстовые файлы, тогда код будет виден зайдя просто по урлу. Для этого для двойной защиты желательно файл .htacess закинуть и прописать в него запрет на открытие файла с конфигом. Ну а если сервер вообще с ума сойдет и перестанет читать ваши .htaccess файлы и будет пхп выводить как текстовый файл, тогда уже ничего не спасет ) Но такого быть не должно, если админ сервера намеренно сам не изменит конфиг апача/nginx'a

Ertoff · 23.01.2012, 17:02

Цитата:

Сообщение от iankov

да, стащить можно только если имеешь доступ к файлам, что бы их скачать.
Или же если настройки сервера будут не корректным, если пхп файлы вдруг перестанут исполнятся и начнут просто выводится как текстовые файлы, тогда код будет виден зайдя просто по урлу. Для этого для двойной защиты желательно файл .htacess закинуть и прописать в него запрет на открытие файла с конфигом. Ну а если сервер вообще с ума сойдет и перестанет читать ваши .htaccess файлы и будет пхп выводить как текстовый файл, тогда уже ничего не спасет ) Но такого быть не должно, если админ сервера намеренно сам не изменит конфиг апача/nginx'a

Спасибо большое за подробный ответ!
А что в .htacess прописать, чтобы файл с кофигом не открывался? И его сунуть в папку где лежит файл конфига?

14.01.2012, 22:52	#1
Ertoff Регистрация: 13.01.2012 Сообщений: 7	Доступ к паролям Беспокоит следующий вопрос На сайте в одной из директорий есть папка с паролем к БД Попасть в этот файл скорее всего нельзя простому человеку, но немного шарящему в делах вебмастерских не составит думаю труда найти этот файл и как следствие получить доступ к паролю, а значит и есть риск, что стащат мою БД. вопрос как защитить БД, полагаю, что есть вариант запаролить доступ к файлу с паролем, но к нему обращаются почти все страницы сайта и как следствие страницы то тоже должны иметь доступ, а как они его получат? короче вопрос - как защитить БД

14.01.2012, 23:28	#2
spein Программист Форумчанин Регистрация: 27.02.2009 Сообщений: 505	не хранить пароль в файле. а если уж так надо то в папку с файлом скинуть файл .htaccess с таким содержанием: Код: `<Files название.расширение> deny from all </Files>` there are no limits when you're software engineer

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Доступ	Ko$	Общие вопросы Delphi	7	28.10.2011 16:09
Доступ по паролям на динамически создаваемые диапазоны	Dmitrol	Microsoft Office Excel	9	03.06.2011 12:13
Удаленный доступ	irissska	Операционные системы общие вопросы	5	03.11.2009 22:14
Совместный доступ	d_alexej	Microsoft Office Excel	3	10.10.2009 21:08
одновременный доступ	ГОСЕАН	Microsoft Office Access	2	08.08.2008 07:41

15.01.2012, 00:12	#3
iankov Форумчанин Регистрация: 04.01.2009 Сообщений: 188	обычно пароли хранятся в файлах типа .php, по урлу содержимое php файла просмотреть не удастся. Нужен только фтп доступ, что бы содержимое файла прочитать, но имея фтп уже считай что имеешь доступ ко всему сайту.

15.01.2012, 21:50	#5
iankov Форумчанин Регистрация: 04.01.2009 Сообщений: 188	да, стащить можно только если имеешь доступ к файлам, что бы их скачать. Или же если настройки сервера будут не корректным, если пхп файлы вдруг перестанут исполнятся и начнут просто выводится как текстовые файлы, тогда код будет виден зайдя просто по урлу. Для этого для двойной защиты желательно файл .htacess закинуть и прописать в него запрет на открытие файла с конфигом. Ну а если сервер вообще с ума сойдет и перестанет читать ваши .htaccess файлы и будет пхп выводить как текстовый файл, тогда уже ничего не спасет ) Но такого быть не должно, если админ сервера намеренно сам не изменит конфиг апача/nginx'a