Kann man Daten zum Einloggen in die Datenbank sehen ?

[Surfer100]

Hallo,

ich habe ein Script, das sich in die Datenbank einloggt, dort etwas macht und die Datenbank wieder schließt.

Gibt es irgendeine Möglichkeit, dass User, die dieses Script benutzen, meine Daten herausfinden können ?
Wenn ja, was kann ich tun, um das zu ändern ?

Grüße
Surfer

 

[hubbl]

Wenn du dich nicht gegen Sql Injections schützt dann schon..
Stichwort: mysql_real_escape_string();

 

[Dennis Wronka]

Persoenlich sehe ich hier Code-Injection als das groessere Risiko.

Wenn Du die Daten in einem PHP-Script speicherst sind sie relativ sicher, solang PHP-Dateien bei Aufruf ausgefuehrt werden. Ist dies, aus welchen Gruenden auch immer mal nicht gegeben sind die Daten im Klartext erkennbar.
Legst Du die Daten aber in einer Config-Datei (z.B. .txt oder .ini) ab und liest sie daraus ein hast Du grundsaetzlich das Problem dass ein Angreifer der den richtigen Dateinamen erraet an die Daten kommen kann.

In beiden Faellen hilft natuerlich die Ablage der Datei in einem Verzeichnis welches per .htaccess geschuetzt ist, dies hilft aber immer noch nicht wenn eine Code-Injection moeglich ist.

 

[Surfer100]

hmm

wisst ihr ... ich kenne mich noch nicht so gut aus


Ich hab mir ein Script gebastelt, das auf meine Datenbank zugreift, dort sich Daten holt bzw. schreibt und dann die Datenbank wieder schließt ...


Ist das sicher ?

 

[Loomis]

Um dazu was sagen zu können müsste man dieses Script mal sehen...