Ich hoffe das du nicht in dem glauben bist, das deine Daten dann sicher wären, es dauert nur 2 Minuten länger ran zu kommen.
Und die aufgeführten Punkte, die du abwendest mit "irrelevant", "keine lust drüber zu diskutieren" oder den Tests an einem LiveSystem wo der User dann Debug informationen sieht, sind deine eigentlichen Sicherheitslücken, die trotz Verschlüsselung in der Datenbank dann wieder einen Zugriff ermöglichen. Die nicht veröffentlichen, ausgenutzten Sicherheitslücken einer Software auf einem Server sind dagegen ja schon fast nicht zu beachten.
Von Performance, gutem Softwaredesign und logischen Code brauchen wir schon gar nicht zu reden.
Finds lustig, dass einige es nicht fertig bringen auf die Frage und nur auf die Frage zu reagieren, nur um ihre "Skillz" so zur Schau zu stellen.
Ich will einfach nur eine DB verschlüsseln und eben nciht über MySQL Funktionen.
Warum ich das möchte und um was für daten es sich handelt ist völlig egal. Es zählt die Frage und die eine Antwort auf diese Frage und keine Diskussion über Softwareentwicklung und Gott weiss was sonst noch.
Natürlich kann jemand anhand des PHP Codes UND der DB diese dann auch entschlüsseln, aber mit jedem für sich kann keiner was anfangen. ist ja auch egal, denn ich will die DB verschlüsseln und nicht wissen, was man alles machen kann, um dieses und jenes ganz ganz toll umzusetzen. Dass es nunmal zu ungewollten (Debug)ausgaben kommt, kann man alle Nase lang bei grossen Projekten und Webauftritten beobachten. Ok, jetzt könnte man natürlich argumentieren, dass es alle falsch machen und nur man selbst als Supermegageskillter Programmierer alles richtig, aber das Problem bei grösseren Projekten ist nunmal, dass man nicht der ienzige ist, der daran arbeitet, sondern unter Umständen auch mal im Team arbeitet und nicht jeder ein so toller Hecht ist, wie man es selbst von sich glaubt.
Also für die Zukunft wäre es schön, wenn man sich an die Frage hält und nicht seinen sonstigen Senf dazu beisteuert.
Für alle das Ursprungsproblem angehenden Anmerkungen bedanke ich mich auf jeden Fall und bin (fürs Protokoll) bei mcrypt hängen geblieben. Und dass man eine DES-verschlüsselte Datenbank ohne Kenntnis des Passworts in "2 Minuten" entschlüsseln kann, das wage ich dann doch zu bezweifeln
MfG
Christoph
PS.
Es ist übrigens derzeit so, dass Fehlermeldungen an sich in die DB geschrieben werden, aber dass das immer so ist, grade dann, wenn Bugfixing oder neue Features zeitnah eingepflegt werden sollen, dafür würde ich meine Hand niemals ins Feuer legen und würde es auch niemandem raten. (Sowas passiert besonders dann gerne, wenn irgendwelche Probleme nur beim Kunden auftreten (weil der evt irgendwas an seinem System rumgespielt hat ohne es zuzugeben) und sich einige Probleme nur auf diesem einen Server reproduzieren lassen. Und den möchte ich erleben, der den (geldgebenden) Kunden ausschimpft und als einen Lügner bezeichnet.
