Где хранить пароль к базе MySQL?
 

Делаю сайт, который использует базу данных MySQL. Подскажите, исходя из соображений безопасности, где лучше хранить пароль и логин для подключения к базе?

в файле конфига :ржать:

Логично. :) Прямо так, в незашифрованном виде?

ну зашифруйте... а что передавать будете?
зашифруйте чем-нить, только расшифровать же надо, где ключик хранить будете? :biggrin:

как вариант, файл конфига зазендить, после подключения уничтожать перменные с логином и паролем...

в голове лучше всего хранить... вообще не понимаю, зачем где-то зашивать логин с паролем...

и у каждого юзера при входе спршивать логин - пароль от мускула :yees:

а если не скажет - тут же высылать спецназ на захват за попытку взлома! :yees: :claps:

ну тогда я не понимаю, какая разница где его хранить, если любой юзверь может обратиться на базу, пусть пишет в конфиг.

эт самое..... вы не с луны упали, тут речь ~немножко~ о другом :)

В общем, я так понял в конфиг пароль и логин, прям так как есть без всякого шифрования. Так?

в общем у вас 2 способа:

1. открытым текстом в конфиг
2. открытым текстом в конфиг, тут же создавать соединение, сразу после этого уничтожать переменные, конфиг после этого шифровать Zend-ом

P.S. 2-й способ для параноиков

P.P.S. шифрование самого пароля - идея тоже хорошая, но, тогда алгоритм расшифровки должен где-то лежать в открытом виде, и, вероятно, с ключем шифрования

P.P.P.S. шифрованный пароль тоже не передашь...

В умных книжках советуют сбрасывать конфиги в отдельную директорию, куда у пользователя нет доступа. И всю такую инфу типа паролей хранить там. :)

Спасибо всем за информацию!

да это само собой разумеещееся.... (че за слово?), тут типа мысль такая, чтобы этот файл не прочитали например через дыру в форуме пхпББ :)

из области фантастики

если пхпББ обращается к БД, то он должен иметь доступ к файлу с паролем; если форум взломан, действия идут от имени форума; значит, доступ к файлу будет

Для него вполне может быть своя база, соответственно со своим файлом паролей, тиак что ничего фантастичного! Его взлом какраз и не должен вести к полному взлому всего сайта!

в этом случае - естественно (если, конечно, админ не установил 777 на все файлы ;))

но речь, как я понял, идет о том, как защитить пасс СВОЕГО же сайта, а не соседних

Дак своего же и защитить. Если заботиться о безопасности, то впринципе правильнее сделать их из разных директорий, от разных пользователей и с разными БД.

то ли мы говорим о разных вещах, то ли... :)

есть сайт; он обращается к БД - для этого ему надо иметь логин/пасс; если находится дыра в коде - доступ к этой инфе БУДЕТ

да, если к сайту прикручен пхпББ, к примеру - и он ходит под своими данными - это другое дело.

ты об этом?

Конечно, с этим никто и не спорил. Тут вобщем-то и говорят что так и должно быть в общем-то и никуда не деться.

угу. Если под своими, то не повлияет его взлом на сайт, но потдельности конечно при взломе доступ получат...

начнем с того что для взлома не обязательно иметь пароль к бд, достаточно дырок в коде ... вообше плин вопрос нахожу смешным ...

Спасибо, улыбнуло, оказывается пароли вообще не нужны :biggrin:
:claps:
InterCat
Велосипед тут не кто не изобретал, универсального способа нет, но один из оптимальных - это сделать "закрытую" директорию, в которую положить конфиг и поставить на него соответствующие права.
И вообще я не совсем понял, что ты собрался хранить в конфиге, пароли или доступ к базе?
По поводу взломов форумов, так их вообще лучше хранить на отдельных хосте, так как через доступ к админке можно..... :biggrin:

а ты как думаеш, при взломе что, сначала узнают палоль к базе а потом ишют дырки в коде или наоборот? а еше зависит на каком хостинге и как все настроено там ... а как ты представляеш права? чтоби скрипт тоже не мог читать конфиг? :)

бред. скриптом можно влезть в ЛЮБУЮ директорию в пределах как минимум своей домашней

это ты погорячился ;)

снять права доступа - и без их новой установки ты фигушки прочитаешь свой же файл или каталог ;)

ну ну..... ну что за глупости?
а типа владелец файла права доступа не изменит обратно, да?
и еще, как ты собрался инклюдить этот самый файл в скрипты, без прав доступа?

см. выше - "без их новой установки" :)

не спорю, что а) права можно вернуть, б) файл, к которому нет доступа из скрипта, не имеет смысла (кроме разве что логов - поставить на них режим write-only имеет смысл)

естественно - нет способа спрятать логин-пасс так, как это описано в постановке задачи. или будет доступен взломщику, или будет недоступен даже самому скрипту.

в общем, продолжать тему - только флеймить... :idontnow:

для тех кто на бронепоезде, повторяю:

извините, а где хранить ключ шифрования ... уж не в конфиге ли :)? по моему ето тоже не решение ... оптимальнее не устанавливать opensource скрипты ... ето да