Criptare la password di accesso al DB MySQL

[f.p.]

ciao ragazzi,
mi chiedevo se era importante criptare la password di accesso al mio DB MySQL:

mi spiego meglio:

io ho creato un file di configurazione php per la connessione ad DB dove ho messo diverse variabili:
es.:

$user = 'root';
$password = 'miapass';

ora, vorrei sapere se c'è un modo, uno script php per evitare che altri vedano la mia password in chiaro, o forse è una preoccupazione eccessiva?

e ancora... mio fratello porta a casa sempre un casino di amici e magari loro, giocando un pò sul mio pc potrebbero tranquillamente vedere la password e combinare qualche casino...

come posso fare?

[Labtech]

md5()

[maurorhcp89]

Codice PHP:

    if($_POST['Invio'])
    {
    while ($riga = mysql_fetch_array($ris))    {
if($user=="admin"&&$pass=="admin")
    {
    header("location:infopre.php");
    exit;
    }
    $dec=base64_decode($riga['password']);
      if($riga['username']==$user&&$dec==$pass)
         {
         $bool=true;
        
         } 


IN questo script a $riga assegno la query che mi estrae user e password e $dec fa la cosa che vorresti fare tu! spero di esserti stato d'aiuto!

[f.p.]

si, so che esistono diversi metodi tipo md5(), sha1() eccetera, ma come li implemento all'interno del file di connessione?
dovrei comunque fare una cosa del genere:

$pass = md5('miapass');

quindi la pass sarebbe comunque ugualmente visibile se uno ha accesso al file di configurazione dei dati di accesso al DB.

sono un pò confuso...

[daniele_dll]

non la puoi codificare tranne che tieni una password per decodificarla quando ti serve all'interno sempre dello stesso script ma come puoi immaginare sarebbe al quanto inutile ^^

[f.p.]

quindi, daniele,

devo comunque lasciare il mio file di configurazione così com'è... ma è sicura come cosa? ad esempio, quelli che da internet si collegano al mio sito possono recuperare la password di connessione al mio db facilmente? o i servizi di hosting usano le loro accortenze?

sai, giusto per essere sicuri che poi altri non vengano a manipolare il db avendo a disposizione il file di configurazione dove c'è sia pass che username...

grazie dani per la risposta

[luca200]

Di solito nei server di hosting le accortenze non mancano.
Però bisogna che anche il tuo codice sia sicuro...

[daniele_dll]

la sicurezza assoluta non esiste, bisogna trovare il giusto compromesso in base alle proprie necessità

se riescono a "leggere" il file dal disco, indipendentemente da come facciamo potrebbero con facilità anche scrivere sul disco e quindi fare quello che vogliono ma, anche nel caso in cui potessero solo leggere, in base a come è configurato il server, potrebbero fare tanti altri danni compreso il leggere in blocco i database di mysql.

la tua password potrebbero leggerla ESCLUSIVAMENTE se riescono avere accesso in lettura al file (se viene richiesto "direttamente" dal webserver ovviamente essendo php verrebbe prima interpretato e poi ne verrebbe restituito l'output, che generalmente di un file di configurazione corrisponde al nulla assoluto)

[f.p.]

grazie dani per la delucidazione e alla prossima