phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

config.php mit Passwort - Kein Sicherheitsproblem ??

https://www.phpbb.de/community/viewtopic.php?t=20356

Seite 1 von 1

config.php mit Passwort - Kein Sicherheitsproblem ??

Verfasst: 07.01.2003 05:40
von BZebra
Hallo,

ich habe versucht in meiner config.php das Passwort wegzulassen, dann kann aber nichtmehr auf die Datenbank zugegriffen werden.

Ist das nicht ein Sicherheitsproblem, wenn das Passwort da drinsteht.
Die Datei kann sich doch jeder holen, ist ja schließlich bekannt wo sie liegt und wie sie hießt?

Was macht man denn da am besten?

Verfasst: 07.01.2003 07:06
von Mister_X
das wird erst kritisch wenn mal der PHP Parser deines Hosters ausfällt weill dann die Datei im Klartext runtergeladen wird. Wenn du dich absolut absichern willst: Erstelle eine weitere Datei mit den Verbindungsdaten und kopiere diese Datei in einen für den Webserver nicht zugänglichen Ordner, lösche die Verbindungsdaten aus der config.php raus und includiere dort diese weitere Datei

Verfasst: 08.01.2003 07:48
von Root007
hmmm, i'm so sorry... interessantes Thema! Nur weiß ich nicht wie man das dann includiert?
include(config.txt); vielleicht?
Und würde das auch schon reichen wenn man diese Datei in einen mit .htaccess geschützten Ordner kopiert?

Verfasst: 08.01.2003 16:07
von Mister_X
ja du kannst die auch in einen per .htaccess geschützen Ordner verschieben

Code: Alles auswählen

include ("/pfad/zur/config.php");
ich würde die Datei mit den Verbindungsdaten auf jeden Fall weiterhin *.php nennen für den Fall, dass du mal versehentlich den Passwortschutz entfernst ist sie immernoch nicht einsehbar (wenn nicht gerade in diesem Augenblick auch noch der PHP Parser ausfällt)

Verfasst: 08.01.2003 16:09
von Simpson
Ich bin der Meinung mal gehört zu haben das man einzelne Dateien auch mit htaccess - müßte mal nachsuchen wo ich das gesehen habe...

Verfasst: 08.01.2003 16:28
von Simpson
So gehts, erstelle eine Datei .htaccess und füge das ein:
<Files "config.php">
order deny,allow
deny from all
</Files>
Speichern und hochladen im TXT Modus in das phpBB Verzeichnis, fertig.

Jetzt ist die config.php geschützt, der direkte Zugriff wird jetzt zusätzlich von htaccess untersagt. Die Datei bleibt aber funktionsfähig für das phpBB, da ja nicht direkt vom User auf der config.php zugeggriffen wird.

Übrigens habe ich das bei mir jetzt auch gemacht :)

Verfasst: 08.01.2003 16:52
von Root007
@Mister_X: Danke für deine Hilfe.

@Simpson: Deine Idee ist natürlich ganz elegant! Ne kleine Frage dazu: Muss in der .htaccess auch "AuthType Basic" drin stehen? Ich hab das mal so gemacht (mit AuthType), und zum Test mal diese config.php direkt aufgerufen und hab dann freundlicherweise ne 404er gekriegt. Demnach funktioniert das ja?!

Seh ich das jetzt richtig dass beide Möglichkeiten gleich sicher sind?

CU
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de