Domanda sulla sicurezza

**fft** · 19-10-2004, 20:31

Ciao, una domanda banale.

Se io faccio uno script in php all'interno del quale metto un include config_script.php dove sono riportati user e pass del database mysql, ci sono possibilità che questi dati vengano presi facilmente? C'è un modo di tutelarsi?
Perché solitamente si segue questa procedura (ossia quella di mettere un include ad un file con i dati della configurazione) piuttosto che inserire direttamente questi dati all'interno del file principale? Solo perché così è richiamabile da più files o ci sono altri motivi?

Grazie e scusate per la banalità delle domande.

**piero.mac** · 19-10-2004, 20:38

Almeno due ragioni....

La prima e' che se devi modificare questi dati lo farai una volta sola.

La seconda e che se qualcuno prende a qualunque titolo lo script, non prende anche i tuoi dati di connessione.

**fft** · 21-10-2004, 11:08

Ma se io metto online 3 scripts (input.php, output.php e config.php) è possibile scaricare o leggere il file config.php con all'interno user e pass del db?

**piero.mac** · 21-10-2004, 12:58

Originariamente inviato da fft
Ma se io metto online 3 scripts (input.php, output.php e config.php) è possibile scaricare o leggere il file config.php con all'interno user e pass del db?

La possibilita' e' la stessa degli altri file con estensione php. Dovra' esserci un malfunzionamento del parser o del web server che impedisca il riconoscimento dell'estensione del file. Altrimenti il file viene "parsato" dal php lato server e non producendo output nulla viene inviato al browser.

Se parli di accessi al server via ftp, (back door o legacy) il discorso e' chiaramente diverso. Ma a quel punto nulla sarebbe illeggibile. Anche i dati sul db sarebbero esposti.

**fft** · 21-10-2004, 13:47

ok, grazie, lentamente mi chiarisco le idee

Discussione: Domanda sulla sicurezza

Strumenti discussione

Ricerca discussione

Visualizza

Domanda sulla sicurezza

Permessi di invio