Подключение к БД MYSQL через хеш / PHP, Perl, Python

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / Подключение к БД MYSQL через хеш

14 сообщений из 14, страница 1 из 1

Подключение к БД MYSQL через хеш

#38291285

bulat_ofm1

Участник

Сообщения: 21

Рейтинг: 0 / 0

Здравствуйте все,
не знаю как правильно реализовать логику подключения к БД mysql.

db_fns.php

Код: php

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.

function db_connect()
{    
    $host = 'localhost';
    $user = 'root_user';
    $pswd = 'root_passwd';
    $db = 'db_name';
  
    $connection = mysql_connect($host, $user, $pswd);       
    mysql_query('SET NAMES utf8');
    
    if(!$connection || !mysql_select_db($db, $connection))
    {
        return false;
    } 
    return $connection;
  }

Пароль хранить в текстовом виде - большая дыра в безопасности.
Посоветуйте или скиньте линки на пошаговую инструкцию - как подключиться к БД используя хешированный пароль.

Некоторые советуют хранить файл паролей нужно хранить за пределами document_root.
Но как ее там хранить в хешированном виде? Как тогда на нее ссылаться?
Как такая логика вообще реализуется - подключение к БД через root для возврата данных,
никакой логики аутентификации для конекта кроме указанного скрипта не используется.

С уважением!

...

Рейтинг:

0 / 0

08.06.2013, 14:45

| Ответить | Цитировать | Написать

Подключение к БД MYSQL через хеш

#38291309

Hett

Участник

Откуда: Бийск, Новосибирск

Сообщения: 13 075

Рейтинг: 0 / 0

А делать авторизацию на хешу это не дыра?

...

Рейтинг:

0 / 0

08.06.2013, 16:17

| Ответить | Цитировать | Написать

Подключение к БД MYSQL через хеш

#38291310

Hett

Участник

Откуда: Бийск, Новосибирск

Сообщения: 13 075

Рейтинг: 0 / 0

По крайней мере со стороны MySQL.
Да и какая разница бы была тогда, завладеют вашим паролем или хешем.

...

Рейтинг:

0 / 0

08.06.2013, 16:18

| Ответить | Цитировать | Написать

Подключение к БД MYSQL через хеш

#38291329

Програмёр

Участник

Откуда: Москва

Сообщения: 2 987

Рейтинг: 0 / 0

bulat_ofm1,

Если уж так, то хранить в нормальном виде (как сказал Hett, а какая разница украдут пароль или хэш, если по хэшу можно было бы залогиниться?). Но, если хочеться как можно безопаснее, то лучше закинуть пароль в отдельный файл (выполняемый типа .php .py и т.д.) и закрыть к каталогу с этим файлом доступ из вне (через htaccess или лучше, если есть возможность в настройках apache), что бы в случае падения используемого интерпретатора файл в чистом виде не отдался пользователю (насколько я помню такое бывает... точно знаю бывало раньше, сам на такое попадал).

P.S. Знатоки, поделитесь идеями, если честно, самого вопрос заинтересовал... А если заморочиться на этом, как сделать безопаснее всего. Что бы только малый процент реально крутых взломщиков мог добраться до данных (разумеется, исключая тот вариант, что взломан полностью сервер, и человек имеет доступ к файлам баз и всё такое...) :)

...

Рейтинг:

0 / 0

08.06.2013, 16:56

| Ответить | Цитировать | Написать

Подключение к БД MYSQL через хеш

#38291360

phpz

Гость

Програмёр,

1. Можно отрубить доступ к базе извне (skip-networking), если база и веб сервер на одной машине крутятся.
2. Допустим утянули вот такой файл с паролем:

Код: php

1.
2.
3.
4.

<?php
$db_user = "user";
$db_pwd = "password";
?>

В проекте обычно десятки, если не сотни, файлов и ничто не мешает "спрятать" соль в каком-нибудь малозаметном подключаемом файле:

Код: php

1.
2.
3.

...
$db_salt = "blabla";
...

В самом скрипте делаем некоторые "махинации" перед тем, как подключиться, напр:

Код: php

1.
2.

$mysql_pwd = $db_salt . md5($db_pwd);
mysql_connect(...);

В базе хранится хеш PWD($mysql_pwd) и знание открытого пароля ничего не дает. Это, конечно
авторисключая тот вариант, что взломан полностью сервер, и человек имеет доступ к файлам баз и всё такое...
Как говорится, не клади все яйца в одну корзину.

...

Рейтинг:

0 / 0

08.06.2013, 18:28

| Ответить | Цитировать | Написать

Подключение к БД MYSQL через хеш

#38291386

Hett

Участник

Откуда: Бийск, Новосибирск

Сообщения: 13 075

Рейтинг: 0 / 0

Я вас умоляю, если злоумышленник смог прочитать файл паролей, то и остальные файлы он прочитает.

...

Рейтинг:

0 / 0

08.06.2013, 19:18

| Ответить | Цитировать | Написать

Подключение к БД MYSQL через хеш

#38291406

Програмёр

Участник

Откуда: Москва

Сообщения: 2 987

Рейтинг: 0 / 0

HettЯ вас умоляю, если злоумышленник смог прочитать файл паролей, то и остальные файлы он прочитает.

А такая фишка случаем не прокатит(?):
выставить права на файл 700, и владельца apache (или php, смотря от какого юзера скрипты запускаются). Точно не помню, но по сути любой другой пользователь не увидит файл или если увидит, не сможет просмотреть...

Это ведь сможет злоумышленника удержать хоть как-то, или обходится просто?

...

Рейтинг:

0 / 0

08.06.2013, 19:41

| Ответить | Цитировать | Написать

Подключение к БД MYSQL через хеш

#38291432

vkle

Участник

Откуда: Самара

Сообщения: 14 253

Рейтинг: 0 / 0

ПрограмёрА такая фишка случаем не прокатит(?):
выставить права на файл 700, и владельца apache (или php, смотря от какого юзера скрипты запускаются).Тогда уж не 700 а 400. Только смысла в этом не слишком много. Да, если злоумышленник получил доступ к файловой системе на запись, то ничто не мешает заинклюдить в свой левый скрипт индексный файл (или где там деллается коннект) и пользоваться штатным, уже установленным коннектом. Ага, и шифрование пароля тоже идет лесом.

bulat_ofm1, от какой конкретно угрозы хотите сделать защиту?

...

Рейтинг:

0 / 0

08.06.2013, 20:11

| Ответить | Цитировать | Написать

Подключение к БД MYSQL через хеш

#38291436

Hett

Участник

Откуда: Бийск, Новосибирск

Сообщения: 13 075

Рейтинг: 0 / 0

ИМХО, достаточно сделать все для процесса вебсервера доступным только на чтение и не раскладывать всякие похапемойодмин. Если кул-хацерь у вас все же каким-то образом прознает пороль, то хоть базу не сольет. Ну а если у него будет доступ под другим пользователем, то тут уже вы ничего не поделаете. К чему вообще такие извращения? Скорее вы допустите ошибку где-то в другом месте, чем у вас сольют базу методом крадения пароля.

...

Рейтинг:

0 / 0

08.06.2013, 20:24

| Ответить | Цитировать | Написать

Подключение к БД MYSQL через хеш

#38291439

phpz

Гость

vkleДа, если злоумышленник получил доступ к файловой системе на запись, то ничто не мешает заинклюдить в свой левый скрипт индексный файл (или где там деллается коннект) и пользоваться штатным, уже установленным коннектом. Ага, и шифрование пароля тоже идет лесом
Если я правильно понял, то (пока) доступа к файловой системе нет. В противном случае сразу заливается шелл.

...

Рейтинг:

0 / 0

08.06.2013, 20:27

| Ответить | Цитировать | Написать

Подключение к БД MYSQL через хеш

#38291517

bazile

Участник

Сообщения: 3 121

Рейтинг: 0 / 0

bulat_ofm1, когда мы говорим о безопасности пароля, то есть две стороны: безопасное хранение и безопасная передача при подключении.

Безопасное хранение. Про него тебе уже сказали. Можно выложить файл за пределы www каталога и читать его. Это не является абсолютной защитой, но как дополнительная мера не помешает.

Безопасная передача. Я не знаю как именно передаются логин и пароль при использовании mysql_connect и можно ли их перехватить. Возможно там используется протокол при котором пароль по сети никогда не передается. Возможно нет. Совершенно точно что для защиты канала передачи данных можно использовать SSL. См. MySQL 5.1 Reference Manual :: 6.3.6 Using SSL for Secure Connections .

Плохо что ты используешь учетную запись root для работы с БД. Любая уязвимость в коде работы с БД позволит злоумышленнику натворить бед. Следует использовать учетную запись у которой есть права только для выполнения необходимой работы. Это называется принцип минимально необходимых привилегий. Стандартная мера для повышения безопасности сайта и БД независимо от языка программирования и базы данных. Похоже что именно из-за использования root ты задумался о безопасном хранении его пароля.

Обрати внимание что ты mysql_ функции являются устаревшими, больше не развиваются и не поддерживают возможности MySQL 5.1 и выше. Нужно использовать mysqli или PDO_MySQL. См. Choosing an API .

...

Рейтинг:

0 / 0

08.06.2013, 23:38

| Ответить | Цитировать | Написать

Подключение к БД MYSQL через хеш

#38291534

alex564657498765453

Участник

Сообщения: 1 942

Рейтинг: 0 / 0

вообщето база данных обычно на локал хосте, и к ней просто запрещаеться доступ извне.
если даже на другом сервере - доступ к ней, только с определёного айпи.

вообще не надо изобретать велосипед.

сетевая защита - это не пхп програмирование.

уверен с ваших компов легче спереть пароли закинув троян, чем ломать сервер где ваш сайт хоститься.

...

Рейтинг:

0 / 0

09.06.2013, 00:22

| Ответить | Цитировать | Написать

Подключение к БД MYSQL через хеш

#38291552

vkle

Участник

Откуда: Самара

Сообщения: 14 253

Рейтинг: 0 / 0

alex564657498765453уверен с ваших компов легче спереть пароли закинув троян, чем ломать сервер где ваш сайт хоститься.Смотря на чем сайт. Ежле на джумле 1.5, так и ломать не надо ничего - експлойтов для нее хватает.

...

Рейтинг:

0 / 0

09.06.2013, 01:38

| Ответить | Цитировать | Написать

Подключение к БД MYSQL через хеш

#38291639

alex564657498765453

Участник

Сообщения: 1 942

Рейтинг: 0 / 0

vklealex564657498765453уверен с ваших компов легче спереть пароли закинув троян, чем ломать сервер где ваш сайт хоститься.Смотря на чем сайт. Ежле на джумле 1.5, так и ломать не надо ничего - експлойтов для нее хватает.

:) а пот наши виндоусы - ещо больше нечести написаной :):):)

...

Рейтинг:

0 / 0

09.06.2013, 12:32

| Ответить | Цитировать | Написать

14 сообщений из 14, страница 1 из 1

Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / Подключение к БД MYSQL через хеш

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?desktop=1&fid=23&tid=1463726]:	0ms
get settings:	9ms
get forum list:	20ms
check forum access:	3ms
check topic access:	3ms
track hit:	45ms
get topic data:	12ms
get forum data:	2ms
get page messages:	66ms
get tp. blocked users:	2ms
others:	221ms

total:	383ms