Interazione PHP-MySQL - login al database

[ger1981]

Buongiorno a tutti, sono un principiante totale e scrivo questo post per chiedere lumi in merito ad una questione nella quale sono incocciato nei miei primi passi con PHP e MySQL.

Vengo subito al nocciolo.
Con l'aiuto dei vari tutorial online, ho creato la mia paginetta html (input.html) di inserimento dati, pagina che contiene i form nome, cognome, indirizzo, e che invia i POST al "motore" PHP (input.php).

Nella prima riga del "motore" PHP, come tutorial insegna ho inserito comando e parametri di connessione al database MySQL:

$connect=mysqli_connect("host_server","utente_mysq l","password","nome_db");

Funziona tutto splendidamente e sono già ben più avanti di questo, ma il dubbio che mi sorge riguarda la sicurezza ed è il seguente:

se io devo implementare questa cosa in un sito web, chi impedisce ad un malintenzionato di recuperare con un wget il file input.php contenente le credenziali di connessione al database?

Grazie

[satifal]

...chi impedisce ad un malintenzionato di recuperare con un wget il file input.php contenente le credenziali di connessione al database?

Grazie

Nessuno.
Se qualcuno per un motivo o per un altro ha accesso al filesystem del server non c'è modo di mettere al sicuro i dati di connessione neanche criptandoli dato che l'accesso al server implicherebbe anche quello ad un eventuale algoritmo e chiave di decifrazione.

[clasku]

ma con wget non dovrebbe recuperare il sorgente del codice, ma lo stesso interpretato?
quindi un attacco da web non creerebbe problemi di sorta (a meno che non ci sia nel file input.php il display esplicito dei valori di configurazione...)

[ger1981]

@clasku e @satifal (grazie delle risposte), se la mia pagina di login è fatta così:

codice HTML:

<form action="input.php" method="post">
            <span >nome:</span><input type="text" name="name">
</form>

mi basta leggere il codice sorgente restituito dal mio browser per capire che esiste il file input.php, quindi con wget lo recupero ed entro in possesso delle credenziali.
Non mi serve nessun accesso diretto al filesystem, e -@clasku- wget recupera il file intero.

O sbaglio?

[satifal]

Non mi serve nessun accesso diretto al filesystem, e -@clasku- wget recupera il file intero.

O sbaglio?

Sbagli. Come già fatto notare da clasku con wget puoi recuperare l'output generato da un eventuale script php ma non il file sorgente.

[clasku]

fai una prova, lancia un wget su questo link http://forum.html.it/forum/showthread.php e vedi cosa ti mostra a schermo
poi fai lo stesso con la tua pagina in locale

[ger1981]

E' vero cavolo, provato anche in locale, sbagliavo di grosso
Wget scarica il file processato proprio come se venisse richiesto da un browser.

Quindi in sostanza il metodo sotto il profilo della sicurezza è corretto...

Grazie delle dritte ragazzi