Criptare la password di accesso al DB MySQL

**f.p.** · 18-12-2009, 11:22

ciao ragazzi,
mi chiedevo se era importante criptare la password di accesso al mio DB MySQL:

mi spiego meglio:

io ho creato un file di configurazione php per la connessione ad DB dove ho messo diverse variabili:
es.:

$user = 'root';
$password = 'miapass';

ora, vorrei sapere se c'è un modo, uno script php per evitare che altri vedano la mia password in chiaro, o forse è una preoccupazione eccessiva?

e ancora... mio fratello porta a casa sempre un casino di amici e magari loro, giocando un pò sul mio pc potrebbero tranquillamente vedere la password e combinare qualche casino...

come posso fare?

**Labtech** · 18-12-2009, 11:25

md5()

**maurorhcp89** · 18-12-2009, 11:55

Codice PHP:


    if($_POST['Invio'])

    {

    while ($riga = mysql_fetch_array($ris))    {

if($user=="admin"&&$pass=="admin")

    {

    header("location:infopre.php");

    exit;

    }

    $dec=base64_decode($riga['password']);

      if($riga['username']==$user&&$dec==$pass)

         {

         $bool=true;

        

         }

IN questo script a $riga assegno la query che mi estrae user e password e $dec fa la cosa che vorresti fare tu!

spero di esserti stato d'aiuto!

**f.p.** · 18-12-2009, 11:58

si, so che esistono diversi metodi tipo md5(), sha1() eccetera, ma come li implemento all'interno del file di connessione?
dovrei comunque fare una cosa del genere:

$pass = md5('miapass');

quindi la pass sarebbe comunque ugualmente visibile se uno ha accesso al file di configurazione dei dati di accesso al DB.

sono un pò confuso...

**daniele_dll** · 18-12-2009, 12:11

non la puoi codificare tranne che tieni una password per decodificarla quando ti serve all'interno sempre dello stesso script ma come puoi immaginare sarebbe al quanto inutile ^^

**f.p.** · 18-12-2009, 12:19

quindi, daniele,

devo comunque lasciare il mio file di configurazione così com'è... ma è sicura come cosa? ad esempio, quelli che da internet si collegano al mio sito possono recuperare la password di connessione al mio db facilmente? o i servizi di hosting usano le loro accortenze?

sai, giusto per essere sicuri che poi altri non vengano a manipolare il db avendo a disposizione il file di configurazione dove c'è sia pass che username...

grazie dani per la risposta

**luca200** · 18-12-2009, 13:03

Di solito nei server di hosting le accortenze non mancano.
Però bisogna che anche il tuo codice sia sicuro...

**daniele_dll** · 18-12-2009, 13:13

la sicurezza assoluta non esiste, bisogna trovare il giusto compromesso in base alle proprie necessità

se riescono a "leggere" il file dal disco, indipendentemente da come facciamo potrebbero con facilità anche scrivere sul disco e quindi fare quello che vogliono ma, anche nel caso in cui potessero solo leggere, in base a come è configurato il server, potrebbero fare tanti altri danni compreso il leggere in blocco i database di mysql.

la tua password potrebbero leggerla ESCLUSIVAMENTE se riescono avere accesso in lettura al file (se viene richiesto "direttamente" dal webserver ovviamente essendo php verrebbe prima interpretato e poi ne verrebbe restituito l'output, che generalmente di un file di configurazione corrisponde al nulla assoluto)

**f.p.** · 18-12-2009, 13:26

grazie dani per la delucidazione e alla prossima

Discussione: Criptare la password di accesso al DB MySQL

Strumenti discussione

Ricerca discussione

Visualizza

Criptare la password di accesso al DB MySQL

Permessi di invio