Где хранить пароль к базе MySQL? - Веб-программирование

InterCat · 24.08.2005, 08:24

Делаю сайт, который использует базу данных MySQL. Подскажите, исходя из соображений безопасности, где лучше хранить пароль и логин для подключения к базе?

24.08.2005, 09:41

в файле конфига

InterCat · 24.08.2005, 12:14

Логично.

Прямо так, в незашифрованном виде?

24.08.2005, 12:25

Цитата:

InterCat:
Логично. Прямо так, в незашифрованном виде?

ну зашифруйте... а что передавать будете?
зашифруйте чем-нить, только расшифровать же надо, где ключик хранить будете?

как вариант, файл конфига зазендить, после подключения уничтожать перменные с логином и паролем...

24.08.2005, 12:27

в голове лучше всего хранить... вообще не понимаю, зачем где-то зашивать логин с паролем...

24.08.2005, 12:38

Цитата:

ryfm:
в голове лучше всего хранить... вообще не понимаю, зачем где-то зашивать логин с паролем...

и у каждого юзера при входе спршивать логин - пароль от мускула

BorLase · 24.08.2005, 14:08

Цитата:

Сообщение от AleXXXSoft

и у каждого юзера при входе спршивать логин - пароль от мускула

а если не скажет - тут же высылать спецназ на захват за попытку взлома!

24.08.2005, 14:28

Цитата:

Сообщение от AleXXXSoft

и у каждого юзера при входе спршивать логин - пароль от мускула

ну тогда я не понимаю, какая разница где его хранить, если любой юзверь может обратиться на базу, пусть пишет в конфиг.

24.08.2005, 14:41

Цитата:

ryfm:
ну тогда я не понимаю, какая разница где его хранить, если любой юзверь может обратиться на базу, пусть пишет в конфиг.

эт самое..... вы не с луны упали, тут речь ~немножко~ о другом

InterCat · 24.08.2005, 14:44

В общем, я так понял в конфиг пароль и логин, прям так как есть без всякого шифрования. Так?

24.08.2005, 14:53

в общем у вас 2 способа:

1. открытым текстом в конфиг
2. открытым текстом в конфиг, тут же создавать соединение, сразу после этого уничтожать переменные, конфиг после этого шифровать Zend-ом

P.S. 2-й способ для параноиков

P.P.S. шифрование самого пароля - идея тоже хорошая, но, тогда алгоритм расшифровки должен где-то лежать в открытом виде, и, вероятно, с ключем шифрования

P.P.P.S. шифрованный пароль тоже не передашь...

EvroStandart · 24.08.2005, 14:59

В умных книжках советуют сбрасывать конфиги в отдельную директорию, куда у пользователя нет доступа. И всю такую инфу типа паролей хранить там.

InterCat · 24.08.2005, 15:01

Спасибо всем за информацию!

24.08.2005, 15:02

да это само собой разумеещееся.... (че за слово?), тут типа мысль такая, чтобы этот файл не прочитали например через дыру в форуме пхпББ

BorLase · 25.08.2005, 11:26

из области фантастики

если пхпББ обращается к БД, то он должен иметь доступ к файлу с паролем; если форум взломан, действия идут от имени форума; значит, доступ к файлу будет

Hubbitus · 25.08.2005, 12:21

Цитата:

BorLase:
если пхпББ обращается к БД, то он должен иметь доступ к файлу с паролем; если форум взломан, действия идут от имени форума; значит, доступ к файлу будет

Для него вполне может быть своя база, соответственно со своим файлом паролей, тиак что ничего фантастичного! Его взлом какраз и не должен вести к полному взлому всего сайта!

BorLase · 25.08.2005, 12:24

в этом случае - естественно (если, конечно, админ не установил 777 на все файлы

)

но речь, как я понял, идет о том, как защитить пасс СВОЕГО же сайта, а не соседних

Hubbitus · 25.08.2005, 12:28

Цитата:

BorLase:
но речь, как я понял, идет о том, как защитить пасс СВОЕГО же сайта, а не соседних

Дак своего же и защитить. Если заботиться о безопасности, то впринципе правильнее сделать их из разных директорий, от разных пользователей и с разными БД.

BorLase · 25.08.2005, 12:42

то ли мы говорим о разных вещах, то ли...

есть сайт; он обращается к БД - для этого ему надо иметь логин/пасс; если находится дыра в коде - доступ к этой инфе БУДЕТ

да, если к сайту прикручен пхпББ, к примеру - и он ходит под своими данными - это другое дело.

ты об этом?

Hubbitus · 25.08.2005, 15:38

Цитата:

BorLase:
есть сайт; он обращается к БД - для этого ему надо иметь логин/пасс; если находится дыра в коде - доступ к этой инфе БУДЕТ

Конечно, с этим никто и не спорил. Тут вобщем-то и говорят что так и должно быть в общем-то и никуда не деться.

Цитата:

BorLase:
да, если к сайту прикручен пхпББ, к примеру - и он ходит под своими данными - это другое дело.

ты об этом?

угу. Если под своими, то не повлияет его взлом на сайт, но потдельности конечно при взломе доступ получат...

24.08.2005, 08:24	# 1
InterCat Junior Member Регистрация: 10.11.2004 Адрес: Питер Сообщения: 62	Где хранить пароль к базе MySQL? Делаю сайт, который использует базу данных MySQL. Подскажите, исходя из соображений безопасности, где лучше хранить пароль и логин для подключения к базе? __________________ Длина минуты зависит от того, с какой стороны туалетной двери вы находитесь.

24.08.2005, 12:14	# 3
InterCat Junior Member Регистрация: 10.11.2004 Адрес: Питер Сообщения: 62	Логично. Прямо так, в незашифрованном виде? __________________ Длина минуты зависит от того, с какой стороны туалетной двери вы находитесь.

24.08.2005, 14:44	# 10
InterCat Junior Member Регистрация: 10.11.2004 Адрес: Питер Сообщения: 62	В общем, я так понял в конфиг пароль и логин, прям так как есть без всякого шифрования. Так? __________________ Длина минуты зависит от того, с какой стороны туалетной двери вы находитесь.

24.08.2005, 15:01	# 13
InterCat Junior Member Регистрация: 10.11.2004 Адрес: Питер Сообщения: 62	Спасибо всем за информацию! __________________ Длина минуты зависит от того, с какой стороны туалетной двери вы находитесь.

25.08.2005, 11:26	# 15
BorLase ::VIP:: Регистрация: 09.09.2002 Адрес: Kiev Пол: Male Сообщения: 1 150	из области фантастики если пхпББ обращается к БД, то он должен иметь доступ к файлу с паролем; если форум взломан, действия идут от имени форума; значит, доступ к файлу будет __________________ Great minds discuss ideas. Average minds discuss events. Small minds discuss people.

24.08.2005, 09:41	# 2
AleXXXSoft Guest Сообщения: n/a	в файле конфига

24.08.2005, 12:27	# 5
ryfm Guest Сообщения: n/a	в голове лучше всего хранить... вообще не понимаю, зачем где-то зашивать логин с паролем...

24.08.2005, 14:53	# 11
AleXXXSoft Guest Сообщения: n/a	в общем у вас 2 способа: 1. открытым текстом в конфиг 2. открытым текстом в конфиг, тут же создавать соединение, сразу после этого уничтожать переменные, конфиг после этого шифровать Zend-ом P.S. 2-й способ для параноиков P.P.S. шифрование самого пароля - идея тоже хорошая, но, тогда алгоритм расшифровки должен где-то лежать в открытом виде, и, вероятно, с ключем шифрования P.P.P.S. шифрованный пароль тоже не передашь...

24.08.2005, 14:59	# 12
EvroStandart Full Member Регистрация: 20.01.2004 Адрес: Таллинн Пол: Male Сообщения: 623	В умных книжках советуют сбрасывать конфиги в отдельную директорию, куда у пользователя нет доступа. И всю такую инфу типа паролей хранить там.

24.08.2005, 15:02	# 14
AleXXXSoft Guest Сообщения: n/a	да это само собой разумеещееся.... (че за слово?), тут типа мысль такая, чтобы этот файл не прочитали например через дыру в форуме пхпББ

25.08.2005, 12:24	# 17
BorLase ::VIP:: Регистрация: 09.09.2002 Адрес: Kiev Пол: Male Сообщения: 1 150	в этом случае - естественно (если, конечно, админ не установил 777 на все файлы ) но речь, как я понял, идет о том, как защитить пасс СВОЕГО же сайта, а не соседних __________________ Great minds discuss ideas. Average minds discuss events. Small minds discuss people.

25.08.2005, 12:42	# 19
BorLase ::VIP:: Регистрация: 09.09.2002 Адрес: Kiev Пол: Male Сообщения: 1 150	то ли мы говорим о разных вещах, то ли... есть сайт; он обращается к БД - для этого ему надо иметь логин/пасс; если находится дыра в коде - доступ к этой инфе БУДЕТ да, если к сайту прикручен пхпББ, к примеру - и он ходит под своими данными - это другое дело. ты об этом? __________________ Great minds discuss ideas. Average minds discuss events. Small minds discuss people.

Опции темы
Версия для печати Отправить на email