definizione di parametri di accesso statici

[Mat1979]

Buonasera,
intanto mi presento. Sono Mat e sono nuovo sia del PHP che del forum.
Mi presento subito con una domanda da neofita.
Creando una classe per la connessione al database, si definiscono come private le variabili per la connessione.
ES.
private $host = "host";
private $user = "user";
private $pass = "pass";

Domanda.
Ma non è pericoloso definire in chiaro questi parametri in un file php e metterlo all'interno del server dove poi sarà ospitato il sito?
Ovvero. Non si corre il rischio che qualcuno possa leggerli e quindi entrare nel nostro database?

Ci sono altre soluzioni a riguardo? Ovvero. E' possibile criptare o rendere questi dati non chiari?

Grazie

Mat.

[Mat1979]

Nessuno sa rispondere?

[k.b]

In genere non e' pericoloso perche' i file PHP vengono interpretati dal server e non viene mai mostrato il loro codice sorgente. Ovviamente nulla e' sicuro, perche' se per qualche ragione il PHP non viene interpretato (ad esempio per una momentanea errata configurazione del server) allora si il codice appare in chiaro.

Anche in questo caso pero' il rischio e' limitato, perche' generalmente l'accesso al database e' consentito solo da alcune macchine (spesso la stessa su cui gira il webserver) quindi un utente in possesso delle credenziali ma senza accesso al server non ci puo' fare nulla.

Criptare non serve a nulla, perche' sposta solo il problema dalla password del database alla password necessaria per decriptare i dati che comunque deve essere accessibile all'applicazione (e quindi si ricade nello stesso problema).

La soluzione piu' sicura, benche' non sempre possibile, e' mettere i file che contengono dati sensibili fuori dalla document root in modo che non siano proprio accessibili tramite webserver in nessun modo.

[Mat1979]

Grazie k.b.
In effetti mi pare poco robusto come sicurezza. Come dici tu se il servizio PHP va giù o viene fatto andare giù di proposito, viene proposto il download del file php.
E' anche vero che non si ha accesso al server che ospita un sito per esempio e quindi è comunque impossibile accedere ai dati, ma conoscendo l'indirizzo ip del server e la porta con i dati di accesso al database è possibile fare delle interrogazioni.Credo

Non esiste proprio nessuna tecnica oltre a spostare fuori dall document root file con i dati?

Grazie
Mat

[k.b]

Originariamente inviato da Mat1979
In effetti mi pare poco robusto come sicurezza. Come dici tu se il servizio PHP va giù o viene fatto andare giù di proposito, viene proposto il download del file php.

No, non e' proprio cosi', il codice viene mostrato in chiaro se il server non e' configurato per far passare i file PHP attraverso l'interprete. Diciamo che non e' una condizione che si verifichi spesso, ne' e' possibile causarla dall'esterno (salvo bug particolarmente gravi, ma mai sentito niente di simile).

Originariamente inviato da Mat1979
E' anche vero che non si ha accesso al server che ospita un sito per esempio e quindi è comunque impossibile accedere ai dati, ma conoscendo l'indirizzo ip del server e la porta con i dati di accesso al database è possibile fare delle interrogazioni.Credo

Dipende se il database server accetta connessioni da IP esterni, cosa che generalmente in un hosting non accade.

Originariamente inviato da Mat1979
Non esiste proprio nessuna tecnica oltre a spostare fuori dall document root file con i dati?

No, ma comunque quella e' la soluzione migliore.

[Mat1979]

Molto chiaro. Grazie k.b

Ciao
Mat