Datenbankpasswort in der website schützen

Hi,

Du legst das Passwort ja nur im PHP-Teil der Webseite ab (Ich hoffe jedenfalls für Dich, dass Du das so machst). Der Server wertet dann die PHP-Datei aus und schickt das Ergebnis der Auswertung an den Browser. Da ist dann üblicherweise das Passwort nicht mehr drin.

Wenn Du ganz sicher gehen willst, leg das Passwort (und ggf. die Anweisungen zum Verbinden mit der Datenbank) in ein Include, welches sich nicht innerhalb des Webverzeichnisses befindet. Also so:

.
|-- httpdocs
|   `-- index.php
`-- private
    `-- dbconnect.php

in der dbconnect.php verbindest Du mit der Datenbank, in der index.php rufst Du die dbconnect.php per include() auf:

<?php
include(&#39;../private/dbconnect.php&#39;);
?>

wobei das httpdocs-Verzeichnis jenes sein sollte, welches beim Aufrufen der Domain direkt angesprochen wird ( sodass die oben genannte index.php mit www.example.com/index.php bzw. direkt mit www.example.com aufgerufen wird ) ob und wie das geht, verrät Dir Dein Hoster. Bei manchen Hostern ist es sogar möglich, die Datenbankverbindung ohne Angabe des Passworts aufzubauen, sofern die Anfrage von einem PHP-Script auf dem Server kommt.

Ok danke,

Ich habe rausgefunden das ich meine Passwörter und Zugangsdaten in einer .inc-Datei speichern kann.
wie sollte die .inc-Datei ausehen?

kann ich auch mit html-Formular mit der .inc-Datei und der MySQL-Datenbank arbeiten und wie sollte dann der code aussehen?

Hi,

Du musst darauf achten, dass man diese .inc Datei auf keinen Fall von außerhalb öffnen kann (z.B. wenn man den genauen Pfad kennt).

Normalerweise legt man die .inc entweder, wie oben schon beschrieben, in ein Verzeichnis, welches sich nicht innerhalb des Webverzeichnisses befindet, oder in ein mit einer .htaccess-Datei geschütztes Verzeichnis. Dabei müsstest Du aber unbedingt ausprobieren, ob .htaccess auf Deinem Webspace funktioniert.

Alternativ kann man bei manchen Webspace-Anbietern einzelne Verzeichnisse mit einem Passwort schützen. Das hätte zumindest einen ähnlichen Effekt wie der Schutz mit der .htaccess-Datei.

Eine .htaccess-Datei könnte z.B. so aussehen:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName DenyViaWeb
AuthType Basic

<Limit GET>
order allow,deny
deny from all
</Limit>


ich hate vergessen zu schreiben das mein webanbieter das aufrufen/download der datei verhindert

kann ich auch mit html-Formular mit der .inc-Datei und der MySQL-Datenbank arbeiten und wie sollte dann der code aussehen?

Zitat von: Jake1448 am 21.11.10, 13:38:49

kann ich auch mit html-Formular mit der .inc-Datei und der MySQL-Datenbank arbeiten und wie sollte dann der code aussehen?

Ein kleiner Hinweis für Dich, fals Du das Prinzip von php noch nicht verstanden hast:

• Der Benutzer ruft eine URL auf (z.B. www.example.org/index.php )
• Der Server prüft, ob in dieser Datei enthaltener php-code ausgeführt werden soll (In diesem Fall: Datei endet auf .php , also JA)
• Der Server durchsucht die Datei nach Bereichen mit php-code (gekennzeichnet mit <?php ?>)
• Der Server gibt die Inhalte der Datei nach und nach aus. Wenn sich darin php-code befindet, wird dieser ausgeführt. Innerhalb des php-codes sorgt idR. der echo-befehl für eine Ausgabe an den Browser.
• Der Browser des Benutzers erthält (idR.) einen HTML-Code vom Server, in dem (korrekte Programmierung vorausgesetzt) kein php-code sichtbar ist.

Du kannst also jederzeit HTML in einer PHP-Datei darstellen, aber niemals PHP-Code in einer HTML-Datei im Browser ausführen.

Die folgenden 2 Beispiele führen zu dem selben Ergebnis:

<html>
  <head>
  </head>
  <body>
    <p>Hello World</p>
  </body>
</html>
<html>
  <head>
  </head>
  <body>
<?php echo&#39;    <p>Hello World</p>
&#39;; ?>  </body>
</html>
Der Browser bekommt aber immer den oberen Code zu sehen. Und nein, in diesem HTML-Code kannst Du keine Verbindung zur Datenbank aufbauen. (Und wenn Du es könntest, müsstest Du das DB-Passwort veröffentlichen.)


Wie Du in PHP eine Verbindung zur Datenbank aufbaust, erklär ich Dir jetzt aber nicht auch noch. Vielleicht schaust Du Dir einfach mal php.net an. Stichworte zum Suchen: mysql_connect ; mysql_select_db ; mysql_query ; mysql_fetch_array

jetzt habe ich es verstanden

vielen dank das man mir geholfen hat