Anfängerfrage zu inc-Dateien

[Homer_j]

Hallo zusammen,

ich habe gerade erst begonnen mich mit php und mysql zu beschäftigen. Mir ist dabei aufgefallen, dass die Angaben zum Verbinden zu einer Datenbank immer im Klartext da stehen. Können die nicht so ohne weiteres ausgelesen werden bzw. wie kann ich diese Dateien schützen?

Die Dateien werden ja auch oft als inc-Dateien gespeichert. Macht eine Umbenennung der php-Dateien das dann nicht mehr möglich?

Vielen Dank im voraus.

homer_j

 

[Jörg Rißmann]

Deine Zweifel sind grundsätzlich berechtigt.
Eine .inc wird oft als Text im Browser dargestellt.
Deshalb ist es sinnvoller sie in .php oder .inc.php umzubennen. Dann wird nichts ausgegeben.

 

[Homer_j]

Hallo Jörg,

das heisst also, es wäre besser, die Datei mit der Endung php zu speichern, wie
z. B. "verbindung.inc.php" anstelle von "verbindung.inc"

Könnte die Datei dann nicht trotzdem ausgelesen werden? Mich beunruhigt irgendwie, dass das Benutzername, Passwort, usw. im Klartext da stehen und suche nur einen Weg, das ganze möglichst abzusichern. Deswegen meine Frage mit dem ".inc".

 

[Jörg Rißmann]

Benenne sie in "verbindung.php" oder "verbindung.inc.php".
Dort machst du folgenden Inhalt:

/* Verbindungsdaten */
	$db_server = "deinServer";
	$db_user = "deinUser";
	$db_passwd = "deinPasswort";
	$db_name = "deinDatenbankname";

/* Datenbankverbindung */
@mysql_connect($db_server,$db_user,$db_passwd)
	OR DIE('Es konnte keine Verbindung zum Datenbank-Server hergestellt werden!<br>
			Bitte versuchen Sie es später noch einmal.');
@mysql_select_db($db_name)
	OR DIE('Es konnte keine Verbindung zur Datenbank hergestellt werden!<br>
			Bitte versuchen Sie es später noch einmal.');
?>

Dann stehen die Daten in einer Variable und werden nirgens ausgegeben, solange der Parser läuft, also wenn PHP vorhanden ist.

Diese Datei brauchst du dann nur noch dort includen, wo du eine DB-Verbindung benötigst.

 

[Homer_j]

OK, ist alles soweit klar. Also wird die Datei "verbindung.php" oder "verbindung.inc.php" dann nicht mehr gesondert geschützt (z.B. durch .htaccess), richtig?

Verzeih mir bitte meine Paranoia, aber ich komme aus dem administrativen Bereich und bin es daher gewohnt, alles soweit wie möglich abzusichern !

 

[Jörg Rißmann]

Da sitzt ich, alleinverantwortlich, selber.
Selbstverständlich kannst du die Datei mit .htaccess nochmal absichern.

Ich habe darauf bei uns verzichtet, bei dem Webserver in der DMZ läßt mysql nur eine Verbindung des localhosts zu, wodurch meine Absicherung mehr der Bastion(Firewall der DMZ) gelten sollte, als dem Server als "Endpunkt" des Angriffs.

 

[Homer_j]

Danke Jörg, hast mir echt weitergeholfen!