De vraag is simpel. In wat voor soort bestand (bestandsformaat) sla je het beste je privacy gevoelige (database) settings op? Ik dacht aan een .ini bestand omdat je dat gemakkelijk kunt uitlezen, maar volgens mij kan dit makkelijk worden uitgelezen? Wellicht is het veiliger om ze in een php bestand op te slaan en dit te includen? Hoe doen jullie dat?
Is het trouwens gebruikelijk om je database gegevens (wachtwoord, gebruikersnaam) versleuteld op te slaan? Of is dat ongebruikelijk?
Mij is ooit verteld als php bestand en dan includen. Bestand bij voorkeur dan wel buiten de root opslaan.
Oké, thanks. Is dan een soort van versleuteling van database wachtwoord en gebruikersnaam noodzakelijk?
NOOIT in een .ini of een .inc want dat zijn simpele tekst files en als men daar bij kan komen dan is dat gewoon leesbaar. Ik gebruik altijd .php omdat die eerst geparsed wordt. In dat bestand staat dan ook alléén php en geen enkele output. Daar maak ik de volledige connectie en selecteer ik de database. Dat bestandje include ik op de pagina's waar nodig. Het versleutelen heeft dan ook verder geen zin.
Edit: Ook check ik daar een constante die in mijn index.php wordt gedefineerd. Is de constante aanwezig en heeft ie de juiste waarde dan wordt de rest van de code uitgevoerd. Dus mocht iemand dit bestand kunnen includen dan zal het niet werken omdat de constante niet aanwezig of niet correct zal zijn.
Ik sla het op in een ini file en geef het alleen leesrechten voor de eigenaar, wat www-data of httpd is, Apache dus. Sowieso bestand buiten de root zetten is een goed idee en uiteraard voorkomen dat je include lekken (CSS) hebt in je code. Je kunt dan je database ook goed afschermen door bijvoorbeeld alleen verbindingen toe te staan vanaf lokaal host of een iptabel. Of moet de firewall (bv iptables).
Als je echt schizofreen bent, kun je je settings in een PHP file zetten en bij livegang deze php file gan byte coden met Zend Guard bijvoorbeeld of een ander (betaalt) programma. Je PHP bestand wordt dan binair en is dus niet meer leesbaar.
Oké, ik zet het toch maar in een php file dan. Lijkt me het veiligst :)
Die define / constante zal ik er ook in stoppen. Lijkt me wel een goed idee.
@SanThe: is het niet voldoende om alleen te checken of de constante is gedefined? Men weet toch niet dat er een constante in moet staan? Als men dit wel weet, dan neem ik aan dat men de waarde ook wel zal weten. Toch? Of is die waarde variabel of iets dergelijks?
