| |
|
|
| | У меня подключение к БД идет через отдельный файл, который включается во все остальные с помощью оператора include();
Я бы хотел запаролить этот файлик (файл подключения к БД). в связи с этим возникает задача каким-то образом прописывать юзера и пароль к этому файлу во всех файлах, к которым будет подключен этот файл.
Посоветывайте, пожалуйста, как мне это решить. Заранее спасибо, кто откликнется.
П.С.: Кстати, ХТТП-аутоидентификация невозможна (хостер ПХП-интерпретатор как-то хитро организовал), потому все залочивания админки (например) идут через чере отдельный файл т.е. база данных в таблицах имен юзеров и паролей не содержит. | |
| |
|
|
| |
|
|
| |
для: Ledd
(25.09.2011 в 17:20)
| | | Т.е. вы хотите вынести логин и пароль из файла, ответственного за подключение к базе данных? Может ввести тогда еще один файл constants.php, в котором и определять эти параметры и который будет также подключаться ко всем файлам, где необходимо устанавливать соединение с базой данных? | |
| |
|
|
| |
|
|
| |
для: cheops
(25.09.2011 в 19:49)
| | | Нет, я не хочу выносить логин и пароль из файла, ответственного за подключение к базе данных. Я хочу сделать так, чтобы обращение к этому файлу было по паролю. И тогда пароль этот нужно будет вписывать во все файлы, которые его подключают. Сам файл БД-аксесс должен бфыть запаролен.
Просто человек, для которого я это делаю не разберётся с резервным копированием БД. А мне обслуживанием его сайта заниматься некогда. Вот приходится заморачиваться на предмет безопасности... Я вобщем-то не шибко в этом всем силен. Может быть нужно какой-ниб. иной путь выбрать. Но вот додумался пока до такого... | |
| |
|
|
| |
|
|
| |
для: Ledd
(25.09.2011 в 21:07)
| | | Не очень понятно, от чего защищаетесь? И почему бы тогда просто не зашифровать файл вместе с логином и паролем. В первую очередь чего опасаетесь?
PS Безопасность всегда требует жерт в виде отказа от удобств, однако, мне пока видится просто жертвование удобствами без повышения безопасности. | |
| |
|
|
| |
|
|
| |
для: cheops
(25.09.2011 в 21:50)
| | | да может оно и верно, что я понапрасну заморачиываюсь.... Так, в башку взбредет чего-то, сам порой не знаешь что ))
Просто учусь сайты на пхп делать, вроде уже склепал один, приятно... а как безопасностью озаботиться... с какого боку к этому делу подобраться пока не знаю... может посоветуете чего-ниб. почитать или применить... | |
| |
|
|
| |
|
|
| |
для: Ledd
(26.09.2011 в 19:37)
| | | В любом случае лучше не действовать на обум - только сложнее код получается, в котором содержание ошибок только увеличивается. В плане безопасности лучше всего изучать отдельные виды атак, или их классы, причем изучать очень хорошо, так чтобы при разработке кода у вас проблема безопасности всегда стояла на заднем плане. Потом, после разработки кода бывает очень сложно обезопасить код (не внеся в него дополнительные ошибки).
С другой стороны лучше разделить приоритеты, т.е. то что вводит пользователь - это высший приоритет, так как они могут быть совершенно не лояльны к ресурсу, то что вводит администратор - имеет еще меньший приоритет (хотя злоумышленник может получить и этот уровень), если у злоумышленника окажется FTP-доступ... ну можно конечно зашифровать код, но он просто загрузит свой и выяснит все, что ему нужно, просто включая скрипты. В общем лучше внимание перенести с кода, на более популярные для атаки цели. | |
| |
|
|
| |
|
|
| |
для: cheops
(26.09.2011 в 21:40)
| | | Спасибо!
подскажите, плиз, что это за "более популярные для атаки цели"? хочу разобраться, не знаю с чего начать. | |
| |
|
|
| |
|
|
| |
для: Ledd
(27.09.2011 в 21:49)
| | | Как правило, это SQL-инъекции, XSS-инъекции, загрузка PHP-файла на сервер под видом изображения. | |
| |
|
|
