veiligheid connectie database

Database Developer

Functieomschrijving Wat ga je doen? Als developer ben jij samen met een gemotiveerd team van 10 collegaâ€™s verantwoordelijk voor het creÃ«ren van aangemeten software voor klanten. Je bent klantvriendelijk en oplossingsgericht ingesteld, omdat het essentieel is om de klanten zo goed mogelijk te helpen met hun uitdagingen. Het is mogelijk om vanuit huis je werkzaamheden uit te voeren, maar het is ook prettig als je in de omgeving van Tilburg woont om naar het kantoor te kunnen komen. Vind jij het leuk om jouw creatieve vaardigheden te benutten om complexe systemen te ontwikkelen? Lees dan snel verder! Bedrijfsprofiel Voor wie

Bekijk vacature »

SQL Database ontwikkelaar

Functie omschrijving Wil jij meewerken aan het creÃ«ren van slimme software om magazijnen als een geoliede machine te laten lopen? Wij zoeken een zorgvuldig persoon, iemand die niet snel de hand omdraait voor complexe algoritmes. Denk jij dat jij de SQL ontwikkelaar bent die wij zoeken? Lees snel verder en wie weet zitten we binnenkort samen aan tafel! Jouw werkzaamheden zullen er als volgt uitzien: Je houdt je bezig met het ontwerpen en ontwikkelen van MS SQL server databases, dit doe je met T-SQL als programmeer laag. Je gaat aan high-end software oplossingen werken, dit doe je voor de optimalisatie

Bekijk vacature »

SQL Database developer

Bekijk vacature »

Database ontwikkelaar

Functieomschrijving Wil jij aan gave logistieke softwareprojecten werken en bij een uniek softwarebedrijf in de regio van Tilburg? Wacht niet langer en reageer snel op deze vacature. Als Database ontwikkelaar ga je aan de slag het schrijven van stored procedures en verder uitbouwen van de SQL database. Je werkt in een database team, met allemaal mensen die energie krijgen van software en techniek. Verder krijg je als taak: Optimaliseren en uitbouwen van de MS SQL databases die gebruikt worden; Optimaliseren van query's, waardoor er efficiÃ«nter gewerkt kan worden; Je werkt met de technieken T-SQL of PL/SQL; Bij interesse kan je

Bekijk vacature »

Database Developer

Functieomschrijving Heb jij ongeveer 3 jaar ervaring als Database Developer met MS SQL of een vergelijkbare database? Wil jij werken voor een ambitieuze werkgever in regio Tilburg waar jij volledig de mogelijkheid krijgt jezelf te ontwikkelen? Lees dan snel verder! Hoe ziet jouw takenpakket eruit? Je gaat projecten gedurende het hele proces begeleiden. Je sluit aan bij afspraken met klanten om hun processen helder te krijgen. Vervolgens voer jij het project uit en zorgt dat dit zo goed mogelijk verloopt; Je werkt aan nieuwe softwareoplossingen die de logistieke processen verbeteren of vernieuwen; Je houdt je bezig met het ontwikkelen van

Bekijk vacature »

Database Developer

Bekijk vacature »

SQL database developer

Functieomschrijving Heb jij ongeveer 3 jaar ervaring als SQL database developer? Dit bedrijf bouwt applicaties om processen in distributiecentra te optimaliseren. Ter uitbreiding van het development team zijn wij op zoek naar een SQL database ontwikkelaar. Wil jij werken voor een groeiende werkgever in regio Breda waar jij de ruimte en tijd krijgt jezelf te ontwikkelen? Lees dan snel verder! Hoe ziet jouw takenpakket eruit? Je houdt je bezig met het creÃ«ren en bouwen van MS SQL server databases; Je werkt aan innovatieve softwareoplossingen voor het verbeteren en/of vernieuwen van logistieke processen; Je gaat projecten vanaf het begin tot het

Bekijk vacature »

SQL Database Ontwikkelaar

Functie omschrijving Kan jij goed overweg met complexe algoritmes en het schrijven van procedures in T-SQL? Heb jij al wat ervaring opgedaan met SQL en vind je het tijd voor de volgende stap? Lees dan snel verder! Dit software bedrijf, gespecialiseerd in de ontwikkeling van logistieke software, is op zoek naar een ervaren SQL database developer. Jouw werkzaamheden zullen onder andere bestaan uit: Je houdt je bezig met het ontwerp en de ontwikkeling van MS SQL server databases, dit doe je met T-SQL als programmeer laag. De begeleiding van projecten van A tot Z, je zult aansluiten bij meetings met

Bekijk vacature »

Database Developer

Functieomschrijving Heb jij ongeveer 3 jaar ervaring als Database Developer met MS SQL of een vergelijkbare database? Wil jij werken voor een gewaardeerde werkgever in regio Tilburg waar jij de tijd en ruimte krijgt jezelf te ontwikkelen? Lees dan snel verder! Hoe ziet jouw takenpakket eruit? Je houdt je bezig met het creÃ«ren en bouwen van MS SQL server databases; Je gaat projecten vanaf het begin tot het eind begeleiden. Je sluit aan bij meetings met klanten om hun processen in kaart te brengen. Vervolgens voer jij het project uit en zorgt dat dit zo goed mogelijk verloopt; Je werkt

Bekijk vacature »

Database developer - SQL

Functie omschrijving Kan jij goed overweg met complexe algoritmes en het schrijven van procedures in T-SQL? Heb jij al wat ervaring opgedaan met SQL en vind je het tijd voor de volgende stap? Lees dan snel verder! Dit software bedrijf, gespecialiseerd in de ontwikkeling van logistieke software, is op zoek naar een ervaren SQL database developer. Jouw werkzaamheden zullen onder andere bestaan uit: Je sluit aan bij meetings en brengt het gehele logistieke proces in kaart. Vervolgens ga je als lead developer aan de slag om de klus te klaren. Je stuurt het junior developer team en helpt, zo nodig,

Bekijk vacature »

SQL database ontwikkelaar

Functie omschrijving Ben jij niet bang voor complexe algoritmes? Schikt het schrijven van procedures in T-SQL jouw niet af en heb jij al de nodige informatie in SQL, dan is functie precies wat voor jou! Jouw werkzaamheden gaan er als volgt uit zien: Je gaat werken aan de complexere projecten waar jij van A tot Z bij betrokken bent. Je gaat zorg dragen voor het ontwerp, de ontwikkeling en het updaten van SQL databases. Dit doe je op basis van T-SQL. Jij bent van start tot finish betrokken bij de projecten die jij leidt. Je houdt contact met klanten en

Bekijk vacature »

SQL database developer

Functie omschrijving Voor een softwarebedrijf gespecialiseerd in het ontwikkelen van logistieke software in omgeving Tilburg zijn wij op zoek naar een ervaren SQL database developer. Je gaat werken aan uitdagende, complexe projecten. Iedere klant/project betekent maatwerk in de database. Jouw werkzaamheden zullen er als volgt uit zien: Je bent verantwoordelijk voor de gehele ontwikkelstraat. Van architectuur tot ontwikkeling Je gaat je bezig houden met het ontwerpen en ontwikkelen van MS SQL server databases. Je gebruikt hiervoor T-SQL als programmeer laag. Je begeleidt als lead developer de projecten bij klanten van A â€“ Z. Je sluit aan bij meetings met klanten,

Bekijk vacature »

T-SQL Database developer

Functie omschrijving Ben jij een ETL database specialist? Houd jij ervan om te puzzelen met Databases, Query's & Stored procedures? Zoek jij uitdaging, vrijheid en verantwoordelijkheid? Zoek dan niet verder! Wij zijn per direct op zoek naar medior en senior database developers. Je gaat werken voor een relatief klein softwarebedrijf in omgeving Tilburg. Samen met 12 collega's (allemaal techneuten), ga jij je bezig houden met het bouwen en/of onderhouden van database software. Deze software wordt internationaal ingezet voor het automatiseren van logistieke processen. Jouw werkzaamheden gaan er als volgt uit zien: Je bent in een klein team met developers, verantwoordelijk

Bekijk vacature »

SQL database developer

Functie omschrijving Voor een software bedrijf in omgeving Breda zijn wij op zoek naar een SQL database ontwikkelaar. Dit bedrijf bouwt applicaties om processen in distributiecentra te optimaliseren. Ter uitbreiding van het huidige team developers zijn wij op zoek naar een SQL database ontwikkelaar. De klanten van dit groeiende bedrijf zitten door heel Europa en jouw werkzaamheden zullen er als volgt uitzien: Het samenstellen van de software op basis van de input vanuit de klant (T-SQL & C#.NET). Het bezoeken van klanten om de processen en mogelijkheden in kaart te brengen. Het ontwerpen van databases met T-SQL als programmeer laag.

Bekijk vacature »

Database Developer

Functie omschrijving Voor een logistieke dienstverlener in omgeving Zuid Beijerland zijn wij op zoek naar versterking. Weet jij als geen ander systemen aan elkaar te koppelen en heb jij goede kennis van SQL en UML, lees dan snel verder! Jouw taken zien er als volgt uit: Je bent in deze rol voornamelijk verantwoordelijk voor het bouwen, implementeren en beheren van koppelingen tussen de bestaande systemen (zowel business 2 business als application 2 application). Daarnaast inventariseer je de wensen van in- en externe klanten, die je vervolgens samen met je collega's, vertaalt naar technische specificaties, die jullie zelf ontwikkelen en implementeren.

Bekijk vacature »

Carel

09/01/2008 10:12:00

Ik heb een klein vraagje over database connectie maken. Het onderstaande gebruikt ik als voorbeeld.

mysql_connect('localhost', 'mysql_user', 'mysql_password');

Ik heb deze waarden opgeslagen in een PHP document zodat ik ze niet elke keer hoef in te voeren op elke pagina waar ik connectie wil maken met database. Maar ik vraag me af of dat niet gevaarlijk is, want dan zou iedere gebruiker (indien ze de naam te weten komen van mijn php database connectie PHP document) deze php document kunnen gebruiken om mijn omgeving te vervuilen enz.

Is dit ook zo en zo ja hoe is dit dan op te lossen?

PHP hulp

27/04/2024 22:18:32

- wes -

09/01/2008 10:20:00

Nee

Een PHP bestand wordt zeg maar uitgevoerd en de uitkomst daarvan getoond op het scherm. De PHP code zelf is nooit te zien

Carel

09/01/2008 10:26:00

Nee dat bedoel ik niet Wes, ik snap ook dat PHP code nooit te zien is. Maar een hacker kan wel dat PHP document OPVRAGEN zonder die PHP code te hoeven in zien en dan een eigen omgeving creeren om in mijn database te klooien en te doen wat hij wilt. Natuurlijk blijft de vraag hoe hij zijn eigen php document in mijn omgeving zou willen toevoegen, maar goed dat is een ander punt.

Waarschijnlijk is het daarom zo belangrijk om uploads te beveiligen en het niet mogelijk te maken voor gebruikers om PHP documenten te uploaden.

Gewijzigd op 01/01/1970 01:00:00 door Carel

Joren de Wit

09/01/2008 10:30:00

Allereerst zal in jouw connectie bestandje de hostnaam 'localhost' zijn. De hacker moet dus al een php bestandje op jouw server kunnen uitvoeren.

Verder plaats je dit soort bestandjes altijd buiten je webroot. Op die manier zijn ze alleen vanaf de server zelf en niet van buitenaf te benaderen. Ze kunnen dus ook niet meer geinclude worden in een extern PHP bestand.

Gewijzigd op 01/01/1970 01:00:00 door Joren de Wit

Carel

09/01/2008 10:44:00

Klink erg interessant Blanche. Ik weet niet zeker of ik je geheel begrijp. Is hier een tutorial ofzo over te vinden?

Is dat eerste punt is dus niet erg positief en het tweede buiten webroot bedoel je buiten public_html. Hoe maak ik dan connectie in mijn public_html met de database als ik het niet meer kan includen?

Wellicht dat ik je verschil tussen intern en extern niet zo goed begrijp....

Joren de Wit

09/01/2008 10:48:00

Vanaf dezelfde server kun je gewoon bestanden die buiten je public_html staan includen. Voor een script dat in public_html staat, komt dat er dan zo uit te zien:

Code (php)

1
2
3

<?php
include '../includes/db_config.php';
?>

In dit geval zou db_config.php in een map 'include' buiten je public_html map staan...

Het is nu onmogelijk voor iemand vanaf een externe server om dit bestandje te benaderen. Hij heeft enkel toegang tot bestanden en mappen die in jouw webroot (public_html) staan.

Hipska BE

09/01/2008 10:58:00

nog veiliger/beter is het gebruik van de vernieuwe mysql functies van php

mysqli_connect('localhost', 'mysql_user', 'mysql_password');

Carel

09/01/2008 11:01:00

Ok...dat klinkt begrijpelijk. Hoe weet mijn php documenten dat mijn php scripts wel toegestaan zijn om buiten public_html connectie te maken met de db_config.php

Ik denk omdat mijn gegevens (wanneer ik inlog) gekoppeld zijn aan de bestanden die ik upload waardoor mijn php bestanden uniek zijn....

klopt dat of ben ik helemaal gek aan het denken...

Hipska mag ik met die vernieuwde thingie wel mijn database connectie script in public_html zetten?

Gewijzigd op 01/01/1970 01:00:00 door Carel

Hipska BE

09/01/2008 11:09:00

dat mag, maar het is altijd veiliger om erbuiten te zetten...

als je php script in public_html een bestand van daarbuiten wil includen, en het mag niet, dan krijg je een error. Zo weet je of het kan of niet.
(normaal lukt dat altijd)

Joren de Wit

09/01/2008 11:17:00

@Hipska: bij mysqli_connect() moet je ook al de database opgeven aangezien er geen functie als mysqli_select_db() bestaat.

Maar nog liever zou ik met de object georiënteerde methode werken:

Code (php)

1
2
3

<?php
$mysqli = new mysqli('host', 'user', 'password', 'database');
?>

Meer informatie kun je vinden in deze MySQLi tutorial.

Gewijzigd op 01/01/1970 01:00:00 door Joren de Wit

Carel

09/01/2008 11:26:00

Oei bedankt voor de tips, ziet er dusdanig complex uit dat ik nog even op ouderwetse manier werk totdat ik aan een echte website begin. Ik had nog een vraag eerder gesteld en ben nog steeds benieuwd wat het antwoord is:

Hoe weet mijn php documenten dat mijn php scripts wel toegestaan zijn om buiten public_html connectie te maken met de db_config.php

Ik denk omdat mijn gegevens (wanneer ik inlog) gekoppeld zijn aan de bestanden die ik upload waardoor mijn php bestanden uniek zijn....

klopt dat of ben ik helemaal gek aan het denken...

Hipska BE

09/01/2008 11:28:00

@carel: daar had ik al antwoord op gegeven, zie mijn vorige post..

toch raad ik je zeer sterk aan om mysqli te gebruiken, het moet niet volgens de OOP stijl zijn, maar dan kan je overal waar je mysql_... gebruikte vervangen door mysqli_...

verbinden met de DB doe je zo:
mysqli_connect('host', 'user', 'password', 'database');

Joren de Wit

09/01/2008 11:29:00

Quote:

Ik denk omdat mijn gegevens (wanneer ik inlog) gekoppeld zijn aan de bestanden die ik upload waardoor mijn php bestanden uniek zijn....

Nee, dat komt omdat de bestanden zich binnen hetzelfde filesystem bevinden, ze staan immers op dezelfde server.

Met include kun je alle bestanden includen zolang ze zich binnen hetzelfde filesystem bevinden en zolang je genoeg rechten hebt op de map waarin ze staan...

Gewijzigd op 01/01/1970 01:00:00 door Joren de Wit

Carel

09/01/2008 11:57:00

Met hetzelfde filesysteem (welke filesysteem?) bedoel je daarmee buiten public_html. Want dan zou ik dus alle php scripts die connectie willen maken met database moeten plaatsen buiten public_html.

Klinkt soms een beetje tegenstrijdig. Eerst moet ik db_connectie buiten public_html zetten voor veiligheid. Vervolgens oproepen in mijn scripts die in public_html staan. MAAR dan wordt hier weer gezegd zolang ze zich binnen hetzelfde filesystem bevinden en zolang je genoeg rechten hebt op de map waarin ze staan. Het 1 spreekt het ander tegen. En dan snap ik nog steeds niet de veiligheidsoplossing want dan kan als iemand ooit achter de locatie met naam php script achterkomt het toch nog steeds op vragen.....Ik bedoel hier worden vaak scripts getoont waarin een databaseconnectie geinclude wordt (en met die gegeven kan je er toch wel in komen?)

Sorry dat ik jullie zo bezig hou maar ik begrijp nog steeds niet de logica. Ik zal die mysql veranderen in mysqli als dat beter is.

En nog iets waarom erbuiten zetten als je ook voor mappen kan cmodden?

Joren de Wit

09/01/2008 12:02:00

Quote:

Het 1 spreekt het ander tegen.

Nee hoor, alle bestanden en mappen op de server behoren tot het bestandssysteem (filesystem). PHP files die in public_html staan, kunnen in principe in alle mappen op de server komen zolang er genoeg rechten op die map verleend zijn.

Van buitenaf, dus als ik jouw website via internet benader, kan ik alleen bestanden en mappen in je public_html map benaderen. Daarbuiten kan ik nooit komen.

Kortom, includen vanaf dezelfde server gaat wel maar benaderen van buitenaf niet.

ps. Het veranderen naar mysqli is niet enkel het aanpassen van de functienamen. Er zitten nog wel wat andere subtiele verschillen tussen, daar moet je dus wel eerst even naar kijken.

Carel

09/01/2008 12:10:00

wat jij zegt is dus alleen als mensen vanaf binnenaf een php script kunnen plaatsen in mijn public_html gebruik kunnen maken van mijn databaseconnectie.

Dus als ze een php script in 1 van mijn mappen kunnen plaatsen omdat ik daar bijv cmod daar 777 heb staan kunnen ze wel mijn database benaderen. Aan mij de taak om ervoor te zorgen dat gebruikers en anderen geen php documenten kunnen uploaden naar mijn public_html dus....

ik zal nog eens kijken naar die mysqli dan overigens.

Joren de Wit

09/01/2008 12:13:00

Het mag natuurlijk nooit mogelijk zijn dat anderen op welke plaats dan ook PHP bestanden kunnen plaatsen en uitvoeren. Behalve dat ze dan toegang tot je database kunnen krijgen, hebben ze in ieder geval al toegang tot je bestandssysteem.

En geloof me, daar is al genoeg schade aan te richten, ook al heb je geen toegang tot de database.

Gewijzigd op 01/01/1970 01:00:00 door Joren de Wit

Carel

09/01/2008 19:07:00

Hey bedankt voor de uitleg en tips. Ik had alleen nog een vraagje voor het plaatsen van mijn database connectie buiten public_html. Wat voor soort chmod nummer ik moet gebruiken voor de map waarin de database connectie in staat.

En nog 1 ding. Je zei "Kortom, includen vanaf dezelfde server gaat wel maar benaderen van buitenaf niet." Wat bedoel je met buitenaf? Is dat buiten mijn public_html bij de mensen zelf of zie buitenaf als in mijn public_html.

Als het bij de mensen zelf is en niet binnen public_html begrijp ik het wel.

Bedankt

Joren de Wit

09/01/2008 19:11:00

Van buitenaf: niet van de eigen server. Dus door personen/scripts/servers van buiten...

Jouw webroot staat niet bij mensen zelf, ze benaderen jouw website alleen via het internet. Standaard zullen ze dan in de webroot (jouw public_html) uitkomen en benaderen ze jouw server dus van buitenaf.

Welke chmod je die map geeft maakt niet zo heel veel uit, 755 zou prima zijn...

Forum berichten

Reacties

PHP scripts

PHP tutorials

Actief op PHPhulp

veiligheid connectie database

Carel

PHP hulp

- wes -

Carel

Joren de Wit

Carel

Joren de Wit

Hipska BE

Carel

Hipska BE

Joren de Wit

Carel

Hipska BE

Joren de Wit

Carel

Joren de Wit

Carel

Joren de Wit

Carel

Joren de Wit

Over PHPhulp

Support

Gesponsord

Extra's

Privacy