Hallo,
ich habe versucht in meiner config.php das Passwort wegzulassen, dann kann aber nichtmehr auf die Datenbank zugegriffen werden.
Ist das nicht ein Sicherheitsproblem, wenn das Passwort da drinsteht.
Die Datei kann sich doch jeder holen, ist ja schließlich bekannt wo sie liegt und wie sie hießt?
Was macht man denn da am besten?
config.php mit Passwort - Kein Sicherheitsproblem ??
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Eine Neuinstallation von phpBB 2.0 wird auf phpBB.de nicht mehr unterstützt.
Siehe auch Entwicklungs-Ende von phpBB 2.0 - Auswirkungen auf phpBB.de
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Eine Neuinstallation von phpBB 2.0 wird auf phpBB.de nicht mehr unterstützt.
Siehe auch Entwicklungs-Ende von phpBB 2.0 - Auswirkungen auf phpBB.de
das wird erst kritisch wenn mal der PHP Parser deines Hosters ausfällt weill dann die Datei im Klartext runtergeladen wird. Wenn du dich absolut absichern willst: Erstelle eine weitere Datei mit den Verbindungsdaten und kopiere diese Datei in einen für den Webserver nicht zugänglichen Ordner, lösche die Verbindungsdaten aus der config.php raus und includiere dort diese weitere Datei
ja du kannst die auch in einen per .htaccess geschützen Ordner verschieben
ich würde die Datei mit den Verbindungsdaten auf jeden Fall weiterhin *.php nennen für den Fall, dass du mal versehentlich den Passwortschutz entfernst ist sie immernoch nicht einsehbar (wenn nicht gerade in diesem Augenblick auch noch der PHP Parser ausfällt)
Code: Alles auswählen
include ("/pfad/zur/config.php");-
Simpson
- Ehemaliges Teammitglied
- Beiträge: 1088
- Registriert: 20.05.2002 17:35
- Wohnort: Göttingen
- Kontaktdaten:
Ich bin der Meinung mal gehört zu haben das man einzelne Dateien auch mit htaccess - müßte mal nachsuchen wo ich das gesehen habe...
Da geht noch was!
Unread Post Information to Database Mod Version 3 mit vielen neuen Features!
Scrolling down automaticly Mod
Unread Post Information to Database Mod Version 3 mit vielen neuen Features!
Scrolling down automaticly Mod
-
Simpson
- Ehemaliges Teammitglied
- Beiträge: 1088
- Registriert: 20.05.2002 17:35
- Wohnort: Göttingen
- Kontaktdaten:
So gehts, erstelle eine Datei .htaccess und füge das ein:
Jetzt ist die config.php geschützt, der direkte Zugriff wird jetzt zusätzlich von htaccess untersagt. Die Datei bleibt aber funktionsfähig für das phpBB, da ja nicht direkt vom User auf der config.php zugeggriffen wird.
Übrigens habe ich das bei mir jetzt auch gemacht
Speichern und hochladen im TXT Modus in das phpBB Verzeichnis, fertig.<Files "config.php">
order deny,allow
deny from all
</Files>
Jetzt ist die config.php geschützt, der direkte Zugriff wird jetzt zusätzlich von htaccess untersagt. Die Datei bleibt aber funktionsfähig für das phpBB, da ja nicht direkt vom User auf der config.php zugeggriffen wird.
Übrigens habe ich das bei mir jetzt auch gemacht
Da geht noch was!
Unread Post Information to Database Mod Version 3 mit vielen neuen Features!
Scrolling down automaticly Mod
Unread Post Information to Database Mod Version 3 mit vielen neuen Features!
Scrolling down automaticly Mod
@Mister_X: Danke für deine Hilfe.
@Simpson: Deine Idee ist natürlich ganz elegant! Ne kleine Frage dazu: Muss in der .htaccess auch "AuthType Basic" drin stehen? Ich hab das mal so gemacht (mit AuthType), und zum Test mal diese config.php direkt aufgerufen und hab dann freundlicherweise ne 404er gekriegt. Demnach funktioniert das ja?!
Seh ich das jetzt richtig dass beide Möglichkeiten gleich sicher sind?
CU
@Simpson: Deine Idee ist natürlich ganz elegant! Ne kleine Frage dazu: Muss in der .htaccess auch "AuthType Basic" drin stehen? Ich hab das mal so gemacht (mit AuthType), und zum Test mal diese config.php direkt aufgerufen und hab dann freundlicherweise ne 404er gekriegt. Demnach funktioniert das ja?!
Seh ich das jetzt richtig dass beide Möglichkeiten gleich sicher sind?
CU
