Protezione credenziali database script php

[albyblueska]

Ciao a tutti,
ho cercato la soluzione al mio problema prima di postare ma non sono riuscito a venirne a capo.
Devo proteggere le credenziali di accesso al database dentro il mio script php.
Per adesso ho una cosa del tipo $user='nome_utente' $pass='password' e faccio una normale connetti.
Naturalmente questa è una soluzione pessima per la sicurezza. Pensavo quindi di memorizzare i parametri in un file esterno(con permessi limitati) e di caricarli da li. Ma non capito molto bene come fare.

Ho trovato questa guida ma non ho capito molto...
http://phpsec.org/projects/guide/3.html

Qualcuno può aiutarmi...

Ah, la soluzione deve funzionare su un servizio di hosting esterno, nel mio caso Aruba.
Grazie mille...

[portapipe]

Credo che aruba abbia delle cartelle con protezione limitata.
Basta che metti il file di connessione lì e poi lo includi nelle pagine che lo usano.
I permessi dovrebbero essere in lettura e accesso limitato,quindi lo possono vedere gli script residenti ma non ci si può accedere direttamente.
Sul sito di aruba ci sono comunque le specifiche per ogni cartella.

[albyblueska]

Grazie portapipe per la risposta.
Ho guardato sul sito di aruba ma non ho trovato niente di quello che mi dicevi. C'è scritto solo che gli script php(e le loro cartelle) devono avere permessi 755 ma cosi facendo il mio script non è protetto abbastanza. sbaglio?

[portapipe]

Con questo script mi sembra tu possa vedere i vari permessi.
Devi metterli sul server ma è il test migliore.
Credo comunque che la cartella che fa al caso tuo sia cgi-bin.

Questo è il link.

[Virus_101]

Oltre ai permessi puoi sempre usare un bel file htaccess che impedisca l'accesso al file dall'esterno .

[albyblueska]

Oltre ai permessi puoi sempre usare un bel file htaccess che impedisca l'accesso al file dall'esterno .

Scusa la mia ignoranza... come si fa?

[Virus_101]

1- setti con chmod i permessi :
- sulla cartella a 755
- sui vari files a 644

2- Crei un file chiamato .htaccess che e' usato da apache per gestire gli accessi dei files.
Puoi guardare qui oppure consultare la guida di html.it per maggori info

[albyblueska]

Allora ditemi se cosi può andare:
ho creato un file cosi:
cred.php
<?php
$host = '****';
$user = '****';
$pass = '****';
?>

l'ho messo in una cartella con un .htacess cosi configurato:
<Files ~ "\.php$">
Order allow,deny
Deny from all
</Files>

Quindi nella classe di connessione al database ho fatto cosi:
public function connetti(){
include "utils/dbcred.php";
if(!($this->attiva)){
$connessione = @mysql_connect($host,$user,$pass) or die("La connessione al Database è fallita !");

@mysql_select_db($this->database,$connessione) or die("Selezione del Database fallita !");

}else
return true;
}

Può andare?

[Virus_101]

Devi rialsciare l'accesso a localhost quindi nelle direttive devi fare

<Files ~ "\.php$">
Order deny,allow
Deny from all
allow localhost
</Files>

Cosi gli script potranno essere eseguiti dal server.

Almeno se nn ricordo male.

[albyblueska]

mmm... mi funziona anche senza quella direttiva, ma secondo me ha senso. Infatti il file .htaccess dovrebbe valere solo per accessi dall'esterno...altro discorso è per l'include nello script che dovrebbe funzionare comunque