✔ DB connect sicher?

[Malaxo]

<?
//Host
$dbhost="localhost";
// User
$dbuser="root";
// Passwort
$dbpassword="blub";
// Datenbankname
$dbname="forum";
//Verbindung erstellen
$link=@mysql_connect($dbhost,$dbuser,$dbpassword)or die(mysql_error());
// Datenbank selektieren
$db=@mysql_select_db($dbname)or die(mysql_error());
?>

Kann man bei dieser Datei das DBpasswort nicht verschlüsselt übergeben? Damit dies nicht klartext da steht?

 

[Dennis Wronka]

Theoretisch schon. Jedoch musst Du es dann ja auch entschluesseln. Und wenn nun jemand den Code hat macht es eigentlich keinen Unterschied ob er gleich das Passwort sieht oder das verschluesselte Passwort und auch gleich den Weg es zu entschluesseln.

In der Regel kommt ja keiner an den Code ran, und die Admins beim Hoster koennen eh an Deine Datenbank und Deine Dateien, die interessiert Dein Passwort also herzlich wenig.

 

[Malaxo]

Ist dies aber nicht eine Sicherheitslücke?
Also ich meine man könnte ja die Files auf dem Server Scannen (als "Hacker") und danach das "verbindungsfile" ziehen. Müsste halt wissen wie.

Danach hätte man es ja schon.

btw: nicht so das ich was ultra wichtiges hätte, interessiert mich halt blos

 

[Dennis Wronka]

Wie gesagt, wenn jemand an Deine Dateien kommt (was schonmal garnicht so einfach ist) ist es egal ob er das Passwort im Klartext sieht oder ob er das verschluesselte Passwort sieht aber dazu dann halt auch gleich den Code um dieses zu entschluesseln.

 

[Malaxo]

Ich dachte da an so was wie MD5();

Aber na ja scheinbar nicht sinnvoll sonst.

 

[Dennis Wronka]

Das Problem dabei ist halt, dass die Connect-Funktion das Passwort im Klartext erwartet.

 

[Malaxo]

Axo, jetzt ist alles ganz klar

Finde es trozdem eine Sicherheitslücke
Wenn es ja schon das schöne MD5() gibt

Thx für erklärung