Sicherer DB-Connection

[meste]

Hallo allerseits,

gleich vorweg, meine Kenntnisse in PHP sind schlecht aber umso besser in JavaScript-jQuery, ajax, asp, MSSQL usw.
Ich möchte auf der Seite einen Login inkl. Registrieren Bereich erstellen.
Die functionalitäten habe ich bereits geschrieben was ich gerne wissen möchte ist wie
man den Connection-String in der PHP Datei sichere machen können.
Bsp:

$con=mysqli_connect("example.com","peter","abc123","my_db");

Welche Möglichkeiten hätte ich jetzt in PHP diese Information verborgen bzw.
nicht für den Anwender sichbar mitzugeben.

Als Vergleich: In ASP gäbe es alternativ eine Datei web.config in der man solche Sachen einstellen kann.
Weiters kann man die Infos in einer beliebigen Datei Verschlüsselt ablegen und bei Bedarf entschl auslesen.
Sicher kann man das letztere in php realisieren jedoch brauche ich die einfachste aber auch eine sichere alternative.


Ich danke im voraus und wünsche noch einen schönen Abend.



Lg
m.e.s.t.e

 

[sheel]

Hi

Als Vergleich: In ASP gäbe es alternativ eine Datei web.config in der man solche Sachen einstellen kann.
Weiters kann man die Infos in einer beliebigen Datei Verschlüsselt ablegen und bei Bedarf entschl auslesen.

Und was hindert dich daran, dass auch so zu machen?

Dazu gesagt werden kann nur, dass es dadurch nicht sicherer wird.
Wenn der Inhalt verschlüsselt ist und die Entschlüsselung in PHP realisiert ist:
Wenn man an die Daten dran kommt kann man das auch selbst entschlüsseln lassen
(oder sogar händisch machen)

Wenn die Daten in einer eigenen Datei sind ist es leichter anzupassen,
weil man die Daten genu einmal hat (nicht eventuell pro PHP-Datei einmal)
und sie nicht erst im großen Code suchen muss.
Aber wenn man an die PHP-Dateien drankommt ist es egal,
ob man in eine kleine oder große Datei schauen muss, um das Passwort zu sehen.
Sehen kann man es dann auf jeden Fall.

Und drittens kommen die Benutzer einer Website normalerweise nicht an den PHP-Code dran.
Wenn doch ist das immer ein (Sicherheits-)Problem, das behoben gehört.
Egal ob man dort ein Passwort drin findet oder nicht.

 

[meste]

hallo sheel,

danke vorerst für deine Antwort.
Wie ich schon sagte kann man das mit dem Ver- und Entschl. sicherlich auch in PHP machen. Aber das wäre nicht die einfache Art.
Das was ich mit der web.config Datei eminte ist das es sich um eine Serverkonfigurationsdatei (XML-Aufbau) handelt welcher vom Webserver autom. erkannt und die Einstellungen darin übernommen werden. Zusätzlich kann man auch ConnectionStrings definieren welche man jederzeit abfragen kann.

Und drittens kommen die Benutzer einer Website normalerweise nicht an den PHP-Code dran.
Wenn doch ist das immer ein (Sicherheits-)Problem, das behoben gehört.
Egal ob man dort ein Passwort drin findet oder nicht.

Wo kann man das sehen bzw. einstellen.


Lg
m.e.s.t.e