Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
Новые сообщения [новые:0]
Дайджест
Горячие темы
Избранное [новые:0]
Форумы
Пользователи
Статистика
Статистика нагрузки
Мод. лог
Поиск
|
|
08.06.2013, 14:45
|
|||
|---|---|---|---|
|
|||
Подключение к БД MYSQL через хеш |
|||
|
#18+
Здравствуйте все, не знаю как правильно реализовать логику подключения к БД mysql. db_fns.php Код: php 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. Пароль хранить в текстовом виде - большая дыра в безопасности. Посоветуйте или скиньте линки на пошаговую инструкцию - как подключиться к БД используя хешированный пароль. Некоторые советуют хранить файл паролей нужно хранить за пределами document_root. Но как ее там хранить в хешированном виде? Как тогда на нее ссылаться? Как такая логика вообще реализуется - подключение к БД через root для возврата данных, никакой логики аутентификации для конекта кроме указанного скрипта не используется. С уважением! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
08.06.2013, 16:17
|
|||
|---|---|---|---|
Подключение к БД MYSQL через хеш |
|||
|
#18+
А делать авторизацию на хешу это не дыра? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
08.06.2013, 16:18
|
|||
|---|---|---|---|
Подключение к БД MYSQL через хеш |
|||
|
#18+
По крайней мере со стороны MySQL. Да и какая разница бы была тогда, завладеют вашим паролем или хешем. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
08.06.2013, 16:56
|
|||
|---|---|---|---|
Подключение к БД MYSQL через хеш |
|||
|
#18+
bulat_ofm1, Если уж так, то хранить в нормальном виде (как сказал Hett, а какая разница украдут пароль или хэш, если по хэшу можно было бы залогиниться?). Но, если хочеться как можно безопаснее, то лучше закинуть пароль в отдельный файл (выполняемый типа .php .py и т.д.) и закрыть к каталогу с этим файлом доступ из вне (через htaccess или лучше, если есть возможность в настройках apache), что бы в случае падения используемого интерпретатора файл в чистом виде не отдался пользователю (насколько я помню такое бывает... точно знаю бывало раньше, сам на такое попадал). P.S. Знатоки, поделитесь идеями, если честно, самого вопрос заинтересовал... А если заморочиться на этом, как сделать безопаснее всего. Что бы только малый процент реально крутых взломщиков мог добраться до данных (разумеется, исключая тот вариант, что взломан полностью сервер, и человек имеет доступ к файлам баз и всё такое...) :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
08.06.2013, 18:28
|
|||
|---|---|---|---|
|
|||
Подключение к БД MYSQL через хеш |
|||
|
#18+
Програмёр, 1. Можно отрубить доступ к базе извне (skip-networking), если база и веб сервер на одной машине крутятся. 2. Допустим утянули вот такой файл с паролем: Код: php 1. 2. 3. 4. В проекте обычно десятки, если не сотни, файлов и ничто не мешает "спрятать" соль в каком-нибудь малозаметном подключаемом файле: Код: php 1. 2. 3. В самом скрипте делаем некоторые "махинации" перед тем, как подключиться, напр: Код: php 1. 2. В базе хранится хеш PWD($mysql_pwd) и знание открытого пароля ничего не дает. Это, конечно авторисключая тот вариант, что взломан полностью сервер, и человек имеет доступ к файлам баз и всё такое... Как говорится, не клади все яйца в одну корзину. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
08.06.2013, 19:18
|
|||
|---|---|---|---|
Подключение к БД MYSQL через хеш |
|||
|
#18+
Я вас умоляю, если злоумышленник смог прочитать файл паролей, то и остальные файлы он прочитает. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
08.06.2013, 19:41
|
|||
|---|---|---|---|
Подключение к БД MYSQL через хеш |
|||
|
#18+
HettЯ вас умоляю, если злоумышленник смог прочитать файл паролей, то и остальные файлы он прочитает. А такая фишка случаем не прокатит(?): выставить права на файл 700, и владельца apache (или php, смотря от какого юзера скрипты запускаются). Точно не помню, но по сути любой другой пользователь не увидит файл или если увидит, не сможет просмотреть... Это ведь сможет злоумышленника удержать хоть как-то, или обходится просто? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
08.06.2013, 20:11
|
|||
|---|---|---|---|
Подключение к БД MYSQL через хеш |
|||
|
#18+
ПрограмёрА такая фишка случаем не прокатит(?): выставить права на файл 700, и владельца apache (или php, смотря от какого юзера скрипты запускаются).Тогда уж не 700 а 400. Только смысла в этом не слишком много. Да, если злоумышленник получил доступ к файловой системе на запись, то ничто не мешает заинклюдить в свой левый скрипт индексный файл (или где там деллается коннект) и пользоваться штатным, уже установленным коннектом. Ага, и шифрование пароля тоже идет лесом. bulat_ofm1, от какой конкретно угрозы хотите сделать защиту? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
08.06.2013, 20:24
|
|||
|---|---|---|---|
Подключение к БД MYSQL через хеш |
|||
|
#18+
ИМХО, достаточно сделать все для процесса вебсервера доступным только на чтение и не раскладывать всякие похапемойодмин. Если кул-хацерь у вас все же каким-то образом прознает пороль, то хоть базу не сольет. Ну а если у него будет доступ под другим пользователем, то тут уже вы ничего не поделаете. К чему вообще такие извращения? Скорее вы допустите ошибку где-то в другом месте, чем у вас сольют базу методом крадения пароля. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
08.06.2013, 20:27
|
|||
|---|---|---|---|
|
|||
Подключение к БД MYSQL через хеш |
|||
|
#18+
vkleДа, если злоумышленник получил доступ к файловой системе на запись, то ничто не мешает заинклюдить в свой левый скрипт индексный файл (или где там деллается коннект) и пользоваться штатным, уже установленным коннектом. Ага, и шифрование пароля тоже идет лесом Если я правильно понял, то (пока) доступа к файловой системе нет. В противном случае сразу заливается шелл. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
08.06.2013, 23:38
|
|||
|---|---|---|---|
Подключение к БД MYSQL через хеш |
|||
|
#18+
bulat_ofm1, когда мы говорим о безопасности пароля, то есть две стороны: безопасное хранение и безопасная передача при подключении. Безопасное хранение. Про него тебе уже сказали. Можно выложить файл за пределы www каталога и читать его. Это не является абсолютной защитой, но как дополнительная мера не помешает. Безопасная передача. Я не знаю как именно передаются логин и пароль при использовании mysql_connect и можно ли их перехватить. Возможно там используется протокол при котором пароль по сети никогда не передается. Возможно нет. Совершенно точно что для защиты канала передачи данных можно использовать SSL. См. MySQL 5.1 Reference Manual :: 6.3.6 Using SSL for Secure Connections . Плохо что ты используешь учетную запись root для работы с БД. Любая уязвимость в коде работы с БД позволит злоумышленнику натворить бед. Следует использовать учетную запись у которой есть права только для выполнения необходимой работы. Это называется принцип минимально необходимых привилегий. Стандартная мера для повышения безопасности сайта и БД независимо от языка программирования и базы данных. Похоже что именно из-за использования root ты задумался о безопасном хранении его пароля. Обрати внимание что ты mysql_ функции являются устаревшими, больше не развиваются и не поддерживают возможности MySQL 5.1 и выше. Нужно использовать mysqli или PDO_MySQL. См. Choosing an API . ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
09.06.2013, 00:22
|
|||
|---|---|---|---|
|
|||
Подключение к БД MYSQL через хеш |
|||
|
#18+
вообщето база данных обычно на локал хосте, и к ней просто запрещаеться доступ извне. если даже на другом сервере - доступ к ней, только с определёного айпи. вообще не надо изобретать велосипед. сетевая защита - это не пхп програмирование. уверен с ваших компов легче спереть пароли закинув троян, чем ломать сервер где ваш сайт хоститься. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
09.06.2013, 01:38
|
|||
|---|---|---|---|
Подключение к БД MYSQL через хеш |
|||
|
#18+
alex564657498765453уверен с ваших компов легче спереть пароли закинув троян, чем ломать сервер где ваш сайт хоститься.Смотря на чем сайт. Ежле на джумле 1.5, так и ломать не надо ничего - експлойтов для нее хватает. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
09.06.2013, 12:32
|
|||
|---|---|---|---|
|
|||
Подключение к БД MYSQL через хеш |
|||
|
#18+
vklealex564657498765453уверен с ваших компов легче спереть пароли закинув троян, чем ломать сервер где ваш сайт хоститься.Смотря на чем сайт. Ежле на джумле 1.5, так и ломать не надо ничего - експлойтов для нее хватает. :) а пот наши виндоусы - ещо больше нечести написаной :):):) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
start [/forum/topic.php?fid=23&mobile=1&tid=1463726]: |
0ms |
get settings: |
6ms |
get forum list: |
11ms |
check forum access: |
2ms |
check topic access: |
2ms |
track hit: |
33ms |
get topic data: |
9ms |
get forum data: |
2ms |
get page messages: |
48ms |
get tp. blocked users: |
1ms |
| others: | 217ms |
| total: | 331ms |
| 0 / 0 |
