Diskuse JPW: PHP ukládání citlivých informací o aplikaci

	Autor	Zpráva
	spartan13 Profil	#1 · Zasláno: 7. 7. 2012, 22:40:25 Odpovědět Citovat Dobrý den, rád bych se zeptal, kam ukládat důležitá data typicky pro připojení k databázi apod. Jde samozřejmě o to, aby je někdo nemohl z webu "přečíst". (O bezpečnosti se přiznám, že toho příliš nevím, kromě klasických útoků.) Předpokládám, že kdybych např. uložit do souboru index.php v kořenovém adresáři tyto informace, tak jelikož je tento soubor přístupný mohl by jej vlastně kdokoliv přečíst (ačkoliv sám tedy nevím jak, jelikož prohlížeč zobrazí samozřejmě pouze html - pokud se do toho souboru lze dostat můžu se zeptat jak, abych si to mohl zkontrolovat). Je např. bezpečná varianta, kdy takovýto soubor, který nebude mít povolený přístup "z venčí", vložím (include, require) do aplikace (např. tedy do souboru index.php, který je samozřejmě dostupný). Děkuji za odpovědi, nebo odkázání na zdroj.
	Darker Profil	#2 · Zasláno: 7. 7. 2012, 22:53:13 Odpovědět Citovat Kód mezi uvozovacími značkami PHP nikdo zvenčí pouhým dotazem na soubor zobrazit nemůže - tento kód se spustí a uživatel uvidí akorát to, co sám vypíšeš. Pokud ale chceš mít extra jistotu, můžeš udělat dvě věci: A) index.php define("INCLUDED",true); include("db.php"); //pristupove udaje db.php if(!defined("INCLUDED")) exit; Tuhle ochranu vídám často, ale popravdě mi moc smysluplná nepřipadá, obsah db.php se nezobrazí tak jako tak. B) .htaccess RewriteRule ^db.php$ - [F]
	spartan13 Profil	#3 · Zasláno: 7. 7. 2012, 23:01:23 Odpovědět Citovat takže pokud by mi nevadila "nepřehlednost" kódu, nebyl by problém ani v případě souboru běžně dostupného jako např. bývá index.php ?
	Darker Profil	#4 · Zasláno: 7. 7. 2012, 23:08:56 · Upravil/a: Darker o okamžik později Odpovědět Citovat spartan13: „takže pokud by mi nevadila "nepřehlednost" kódu, nebyl by problém“ Ne, to nebyl. Ale zrovna přístupy do databáze budeš určitě potřebovat i jinde a tak ti externí soubor ušetří hodně práce.
	ShiraNai7 Profil	#5 · Zasláno: 7. 7. 2012, 23:18:08 · Upravil/a: ShiraNai7 o minutu později Odpovědět Citovat Darker: „Tuhle ochranu vídám často, ale popravdě mi moc smysluplná nepřipadá, obsah db.php se nezobrazí tak jako tak.“ Dělá se to především kvůli možných register_globals v adresářích, který je pod webovým rootem. Kdyby skript obsahoval jen definice proměnných tak je to jedno, ale jinak to smysl má.
	spartan13 Profil	#6 · Zasláno: 7. 7. 2012, 23:20:49 Odpovědět Citovat Darker: nevím, jestli to dělám špatně, možná ano. Ale já používám přístup, kdy přes htaccess směřuji veškeré dotazy na index.php v kořenovém adresáři, ten si vytváří objekty pro připojení , router apod. a vše tak vlastně pracuje pouze přes ten index. Zatím jsem na překážku, kdy by mi tento přístup vadil nenarazil ale pokud má někdo lepší zkušenosti, budu rád pokud se o ně podělí.
		Časová prodleva: 12 let

0