Меню
Что нового?

Пароли к БД

  • Автор темы Alex S.R.
  • Дата начала

Alex S.R.

Guest
Пароли к БД

В первую очередь: уважаемые админы, не посылайте на болт и не баньте тему, ибо тем с подобным названием много, а конкретной инфы, имхо -> 0 (по крайней мере, по волнующиему меня вопросу).

Так вот, у меня конкретный вопрос: есть сайт, который для хранения, например, новостей использует базу данных.
Каждый пользователь, входя на сайт, хочет читать новости.
Таким образом, скрипт должен каждый раз открывать подключение к серверу базы данных, независимо от пользователя - я думаю, это ясно.
Таким образом, имя пользователя, пароль к серверу БД и название базы данных должен знать именно скрипт, а не пользователь. Это, кажется, тоже очевидно.

Так вот, собственно вопрос: насколько безопасен в теле скрипта, расположенного по дереву НИЖЕ папки www/ вызов, типа
PHP: 
mysql_connect('my_login', 'my_password', 'my_host');
? Где лучше хранить пароли такого рода (пароли для скрипта)? Как прописать путь для файлов, лежащих ВЫШЕ папки www/? И можно ли получить к этим файлам (за пределами www/) доступ извне?

Спасибо.

ЗЫ Извините за излишние подробности, просто я не хочу, чтобы в этой теме возник такие же беспредметные разбирательства, как и в аналогичных темах.
 

Нечто

Психолог РНРClub
Если скомпрометирован хост, то уже не важно, где ты хранишь свои пароли.
 
Фанат

Фанат

oncle terrible
Команда форума
Хранение паролей в теле скрипта достаточно безопасно.
Хранить всё равно, где. Убирание файлов настроек выше ввв_рут вызвано, скорее, не вопросами безопасности, а гипотетической возможностью обратиться к ним напрямую.
путь для файлов, лежащих выше ввв удобнее всего прописать в файле, подключаемом через auto_prepend_file
Доступ к этим файлам получить извне нельзя.
 

Alex S.R.

Guest
Спасибо! :)

Насчет "достаточно безопасно": есть ли возможность просто "выкачать" php-файл?
И вообще, что происходит с файлом (в смысле, как он интерпретируется и передается в менеджер закачек), когда его пытается загрузить менеждер закачек?
Правильно ли я понимаю, что менеджеры закачек, посылая запросы на загрузку файла так или иначе "выглядят" для сервера как обычные (ил не очень ;)) браузеры и, следовательно, сервер работает с ними примерно также как и со всеми остальными субъектами даной категории?
Если да, то, всё-таки, опять же существует ли, хотя бы чисто теоретически, возможность скачивания php-файла в исходном виде?

ЗЫ Оговорка: естественно, сервер, на которм установлен файл, имеет PHP-интерпретатор.
 
Фанат

Фанат

oncle terrible
Команда форума
есть ли возможность просто "выкачать" php-файл?
Нажмите для раскрытия...
нет
И вообще, что происходит с файлом (в смысле, как он интерпретируется и передается в менеджер закачек), когда его пытается загрузить менеждер закачек?
Нажмите для раскрытия...
он интерпретируется и передается в менеджер закачек
Правильно ли я понимаю
Нажмите для раскрытия...
правильно
хотя бы чисто теоретически, возможность скачивания php-файла в исходном виде?
Нажмите для раскрытия...
чисто теоретически возможно всё.
 

Alex S.R.

Guest
Заканчивая тему, просто чтобы окончательно закрыть вопрос: то есть, не имея непосредственного доступа к файловой системе участка сервера, на котором хранится php-файл, содержимое его получить невозможно, так?
 
Фанат

Фанат

oncle terrible
Команда форума
ответ на вопрос, который имелся в виду - невозможно.
ответ "строго говоря" - масса способов. К примеру, можно обратиться к серверу по протоколу FTP TELNET или SSH. получить можно и по протоколу НТТР, о котором, вообще-то, здесь и идёт речь, но который не упоминается. К примеру, если сервер или каталог не настроен на обработку пхп файлов.

короче, читайте вдумчиво PHP FAQ: Самые основы. Как работает PHP.
 
Войдите или зарегистрируйтесь для ответа.
Сверху