Безопасное хранение файлов или безопасное подключение к БД

@Wegik · Регистрация: 23.08.2014

Возник такой вопрос. Подключение к БД делаю с помощью include который загружает файл содержащий строку подключения с логином и паролем. Теперь возник вопрос безопасности, ведь этот файл вполне возможно скачать. Как можно защитить подобные вещи? Или может подключаться нужно каким то другим образом? Пользуюсь MySQL

@Voka · 16.09.2014, 00:20

php файл не скачать, если сервер не взломан

@Wegik · 16.09.2014, 22:07 **[ТС]**

Voka, то есть логин и пароль можно хоть открыто в файл написать? Ну может есть возможность посмотреть исходный код php? Я конечно читал что его выбирают так же из-за безопасности, но что то не очень верится что прям никак нельзя посмотреть исходный код страницы.

@Voka · 16.09.2014, 22:12

Ну если только у тебя нет на сайте мест для SQL инъекций или XSS.
Посмотри на все популярные CMS типа Wordpress, DLE, phpBB и т.п. пароль и логин от базы храниться в файле config.php или подобном и хранится открыто.
Ты же дома хранишь деньги в кошельке, а не в сейфе, хоть и знаешь, что могут квартиру обворовать, поэтому ты поставил входную дверь, хороший замок, окна и мало кому рассказываешь про свои сбережения, также и в php.
Если сайт не интересен злоумышленникам то плевали они на него.

Я сам когда начинал пользоваться php тоже не понимал этого.

@Seovin · 16.09.2014, 22:26

закодируй

@Voka · 16.09.2014, 22:28

Сообщение от Seovin

закодируй

Прошу пример в студию или по подробнее идею

@Seovin · 16.09.2014, 22:32

вот подключение к базе

PHP

HR+cP/I6+hQgJT+v+L5lbM/nQpTJbLcHfejF0IMtg0Ju7JOzvt+XL98MT+gh1OT1XgZjuuiGIvlg
T6ucVK1UVWPPDuKffjYSz8pyq15Hd5oraezUXOTJa8ssNYDRJUFlgvt3Y9OibWQVXPfpFVoMT6Lb
T8T9pbv67MDgYsNoq5YRmhLfGuKX4vNVGBCfL0/CCwJ/AJGkSl1gCLgQWBmHKOawkzFwt5tWjczr
y7LCiA0FM1sOJn/kzQjWFNA3fMGSQxk+AKiR+I06yqBT+PTD4CEc9TZy2DokJyByFNx2XZeXr+jL
QNYUYz5K99OFC/hdpwZvlkjBzoD2A+mlgv22kRsy3/vYSCZycflLoLLUjVZg7NgBipa/eR8WraAx
EXkORF5G/rg1Hqda1/jHiu2tY/e3yxLiWwgPr4dWGCvGYsquTdKDFTKM+YOG69AfwyF+kt1/9D2y
ecAMNmmkpdtDsI5apV9motq50KDMXFGGRuMhdFbapPk0ZEJyKAko7+41cJGkGAHZigv4HIA+ptoN
YSK4noM5j47l3IgeGc6l9/mzrVw++NrkZS/FTL2no4AG4e6JmTaxyAh73gMuaXTinQDbpGf+iN9c
uudzY9qENKTR9kPBJQd8QDUwfX3Upywn9kkTxEYJ7gf64YVJ8OSM6yi26ICVkxqGnAV3G1Ma3txq
jhndONTNfnAbNcfx6uHp3VwyFnTOk61cKChmrAb5gQtY1NLbOh9IA5/wX0CStugv8uQZZ8QgJidx
LH4lk5j1HUzPRl84VhyAfJ6+sOzZ+lbUEThExzul8LjQ6xZJ328lCIJcto4Bk8F
quoguuHRWZBnygmELM/CyRjAoVVJAs5v/MHl3pPXzqdA5DavHKGX5iKEgWWcwCDSewijK0nb4RDL
lWLYpYJRe1BLHX4KfMYNXMprCjC210kdKol3RTMjoCpUiqBfoaArH8ZgCdWjTFILe8+7GinyV3/Y
y6vPJLIyWy/Ji9J66VJNDHWLmWzKCo3+mTGWeb4dnYtD7SdZwqg8b29KWx3oy+fkDzcCEru85wWM
i40CH7Iacw8QL6ur1rP98aCtl5E1ImxhsGedRLWjNMTCCyHpjDBRDguNToZXPI9bMumupmb6zS0k
jXDWhYC25buNVVdXcmDfiynzj1cn1GmYn6VFtZXfUPGuFJhQLNNg0gib7e6CqUzUfFM6U2y9IJKQ
2Tigt2TU+50Ljn1j7QloHgRqAoMYGaVL1Ib6g+Nv2/zs1yJ/jmNWHlmJKGGOEnWv5LiZ08tBicdR
cRKujv5XxFbdo8hnJGWDmKT7xVPiehK2BkSEAsYY281iwYICbtEcwsV4eYHFm0AmcRUK9wRxeLMF
nJMJVajE12Hm+OIc3Ry+QdRz1WbAOuYPJ5H6+GkdpfXYJYz7QnAVAPyuy2WN7cPONMbtnzGamHsI
XSw04iFT1QSJA9C23hGqdy35N5oDty5MxX44bpKiyP4EI0M/25aoNeYEDtmDYE2ctY6y4OfIZ/PA
5mpyvSh38oPd84FzKZySN2RMUxkmxhk8Dx2M/m4r5AjAsRZOwOND76BPRz4bceurltOkB6K54AX4
SLREoBxzRfBQ51Rfv4Q5GUmYZzWHoveTcAWFubunWXzRKTjXrDVVwEmrZOTmI4ykQ8XzzHj5brK+
Cf9HRz2nHWjz7Fi3/Gps9yfxtsNhY8CYuLTzn+gG/4uePtZkP5sxnLIkHG7TKHeQHSSNdlbFHCY0
KUOXmreKNIkwCcBjwDzX+RWok39d3DqCt5R8NgMLb4vaWf7oKA/Vp2RshOLSCN49wSKaRsIcKgig
uCHh/VbqKWIsLPY5756aB1K4TKxgeOAnqW/kV1l7boGRACNwMdaPwfwAjO53oChMkI5sMKfuTe3Z
1nmka33C0Oky8sLz3yKKVM5o9QFqWlSz36YnRmr13+ZgP3sTzp0shKxCxMtrvVkMDqzu/w0iLXd2
whrUQ2OYM044s4l9ni7IU66f0xBel4716AVOvGYTXLnFDbw7MaY9jKqKmaUR0ZRrx9NF1HPuBVU4
U/Gg12K6xRkre+lzVQFFU9S3XPqaJyjXUV8f3JEOImVpFtF6YbV5SfbeWXUTp+HBAYsXX+CYTxsZ
r+snnLIQ5cVmUDY7+xQicHyHa5UVk3E90jK/4mDaltHF0IN79KvWiIrUeGOYCu0l0/NlLTBx9wHn
JAs/Gj7v10Mj5zjIJydViRKQqFU++ViuAfFMS5xhGUFDz4cAxH4LNu8gFLKfyLDFbNUSizYODd6u
eqIFwWrh7y/pje9BnxMjSSr57citDX5vYpAYOrFAqbkL7tWEzSRuNdI2V6cBK72azQNbTSDmZZZb
ryVt/Zl7RpvIv8mOsfIudRn0TSfc3khDnvhxxnqJnKnBlrZBTynyOd2A1nFogdE2hBD7taXVR4/a
wFS8qA+J31SdTw/6e9WDqjmQk1aPnPQhAUDkEnbcxGewGUvo+z3m63VBx1EBtjIOgMuHStm75F5p
8UjmQI9GOWa0hfxTIVZpsGCkxtj7oWMlMFUyHJtzviKvG6vslj1UTYS6Nku/HB2raqVtqTHzkS+5
Mp7gTLtirJvzbmpIQmxm/A8JMiz6wRvLevZWjm4AzjWcyZPIHQcs0a3zgxJi43USVq/aBWXqiMdT
B+Q2b2/6h5xvmBaqyUfj9oNae02Fde6PTf+ku5HN3/PYuBl8qMQ8NS9i406pUAiH1NJtxsLh+Mds
lBihXRDz40URfPln1J5qTl0nAE/uxNR9jazkCeL+O1hDYtrHe7sPP0Mjo6lMWWDE3+jRAkUNSvIB
ve0J2GMgdeZiOudUQIwwwIKLoIFjxvK9YDZXu3C/iamNgvjhVTmWRju/k5JraOuwWbEOvZjv3qJY
GzkzTVyUXJ6lJQaPOTjLBWOmSEMTHJIlX89fEs8iG7b13S75Vbzop9EDIbLmhsl1mOTpOdkwVDOT
mVJDUwCvWga9rvDy4iWjNlDv0o9HmdrUeGZ2I0cdrqPkxN2bjh6Ml8sNEs7aS3bYI+gMwIuTCSUx
jFaeJqgk0GF898SxtI7v9CxxL+iRX5XSFW95t+AXRR+l80JO7YRK+xMlTHdddo9M70GMqIq43LaP
ZvdnrELYbYsNDzZWzeQU6DAnZ6q12DGA8qB+EcaBIav3y1avtq6TpHPMLlIR5QJTROl+DUyPnj/I
/g6415vYDkrwLphHfHk6FJ2T+G7FLz4tzU0cI+WrwN8G///uwURB1N30zZ9uUy4kkR/+bQeq8eGQ
qhqrQDVyQAez/7yKnNo0UETEipMuq1lgmVE84K4jBUvXHT99OdY0+4Ze3FG1n+QkUEHW65XqqueB
1IlMGUrz3zHTugPBnJf5c/oU+08zjMNXv/lZmFLBMpyc6KOzUnwahnXTc0qqUyGXRl2qrNrL6NOV
Aqd0v9YvpJyHLZxSNlRBGdRfosoRYj/bOY766L6updW7HMmeAx3vitjKYrJTPTZNN8W/eCH5vXCs
ixYSaklAegjLn8iw1bZcKdKKpizY+7tGRhdVp+lR4zZqSeidHaTAN2KH7bWB9Bjy6l9icKLAE5Fc
dXWK/MW1uOWULdlgJkwVmOaOnMqQyXiV5JXI5WoiZvX6GLu9NlGZnjf6qRqgmyZiz50authEgnwg
ZKJQMu9P/q6Si26Iirng2asIYKA9IK4EmabI1gWdZXjMTXb4IPse3XkMLy00dTsvVi9MWFCbNB+5
yk139U0e36spQXMLtHakJvTescUM0MHQFHIHHKU+Dsba+Pt2d7SnR8Y7vUi6scaMv/tYi+7XdYKM
bcT+Es3/DOyR3jKEyaKkxm53Or3o4vN9KuGvIvzA6BLRdNWpNJ7/QI3vpruQbR8T8m/OetJm5AhW
XEL29c20U2hJfDwArBqWG/zgw/kbGot4ug0OztWhw9grYT1KAsnurjKYLeyuz1LWTSLhLGPawDyk
M2KpwpK9Q6F599cdJl+VI4NXvUFm41CxJKSNuLGBQ/CiLdKOEUj6PCcX+MCkLoEpB75V51Erp40z
C5mQRZu58qBIq91McZ2QCyttmXJBxT5drM5dbD7mZcb7SPkBppGk8o/7wrcBWYMMnmCPo3kmBQx9
vsI0VFLc1YNY9WVVvflPJvQtEs+TgJlu1RWat10tDli2zRjFRfKSOuxP8i0myUv4cjKHL71FFnTy
fyZbzxK0E0JMKQxnm4qciqtkd/l3CplgFIoMWJJfiPSYkPnjMz+i7+0DIUiNWSrJNNq6pBpfl4WE
mPBRjaXhqdB6sxWwiydF4mCb/q1Z6v3+63WcGvk4CM7alWGHlykl1qZDzbbtSqT/ovNQ6Jb2uNwc
vkrpwjMNgqy6j3DJ1Nrl/ed2xOWRlK+YXIhpoIgpfbW9Vg8ecFjGQ1/VtySekhF0VvPsNQlZBiXf
TlFyKVQLNBE1SjuC0LR8lufRQSPWYszTpR2QuhC2vPfOhbEVwikCnrb3gJS8lYktl+qRVTKaha+0
MOOXsPNgoJirkcBUk1Qot7O9v1gvzQJFKvknJ9lw94YQPEoqlf/l19Qwy+k4qhO+ySOmU+a0nGgu
8tza3XnMmv7AzAKbkxIma9NKABqQjwSdREi13LuQBDazCf9j2sbAD4TRZalj8aIt3X***Sp6uSVz
smsrhmvQVRPjrZk9LmTEI/KaP6rXeJR2AcchPi+jlZrf/8cCbOLehNP7POxvEMm8BQ8dMUrnbfcy
cdRMxffyAQ2bMQhCs71hrHmH2sybK0deOboyj/kuqAyH0GG4zmjzL+dqoZach2oOMr6frs6Z0JPQ
RsKA3sX9g7PDbCp6wFw+skzGKUjn1ygubkjgWOx1DQ/pkZ6j9I3xCLcrN5D8bdDGRBnQHdexjeI0
yOvGX4qLEoDyDDtW2DRrz6uPTWTjJRgLiNNXl23zI/YO4YqYXZUI78zVKazmPsC0HsfwT9ZJQAEd
b6zoR4pf1Xc5EW4Ach1g2hEz+5/LnFYsPbij3cAcGgBGT4rK08fO7DaVZJSRsD7AFzqp8f4kbmtZ
ym==

@Wegik · 16.09.2014, 22:48 **[ТС]**

Seovin, при виде вашего "кода", очень сложно правильно сформулировать вопрос. Как? Что это? Как интерпретатор php может понять что это? Если это зашифрованный код, то значит есть его " переводчик", и вполне возможно узнать что там?

@Voka · 16.09.2014, 22:49

Сообщение от Seovin

вот подключение к базе

ОК, как его выполнить?

@Seovin · 16.09.2014, 22:53

ionCube
это как хеш мд5 практически не возвратим.

@Voka · 16.09.2014, 22:55

Сообщение от Seovin

ionCube
это как хеш мд5 практически не возвратим.

Тогда смысл от такого шифрования?
у меня есть файл config.php в нем вписан логин и пароль от БД, я зашифровал этот файл, как мне использовать эти логин и пароль?

@Seovin · 16.09.2014, 22:58

на сервере устанавливается декодер

@Voka · 16.09.2014, 23:01

Сообщение от Seovin

на сервере устанавливается декодер

ДЕкодер, ок.
Когда php файлу нужен логин и пароль то он обращается к декодеру, он декодирует и возвращает логин и пароль.
Злоумышленник тек-же легко может этим декодером воспользоваться если получит доступ к исходникам

@Wegik · 16.09.2014, 23:03 **[ТС]**

Seovin, если злоумышленник все таки получил доступ к подобному коду, то что мешает ему его "декодировать"? Подобрать md5 как то можно, значит и это лишь просто займёт немного времени и него?

@Voka · 16.09.2014, 23:05

Сообщение от Wegik

Подобрать md5 как то можно, значит и это лишь просто займёт немного времени и него?

Подобрать можно но очень сложно. Декодировать средствами сайта проще)

@Seovin · 16.09.2014, 23:10

Сообщение от Wegik

Seovin, если злоумышленник все таки получил доступ к подобному коду, то что мешает ему его "декодировать"? Подобрать md5 как то можно, значит и это лишь просто займёт немного времени и него?

как писал WOKA надо хороший сайт иметь чтоб привлечь крекера, хакера или злоумышленика,

Вы погуглите лутчше, не просто много разжовывать надо,

Но если кратко: перед кодированием задаёшь пароль, перед декодиророванием нужен тот же пароль.
ну типа чёто того

@Voka 207 / 199 / 110 Регистрация: 27.12.2010 Сообщений: 819 Записей в блоге: 1
	16.09.2014, 22:55	11
	Сообщение от Seovin ionCube это как хеш мд5 практически не возвратим. Тогда смысл от такого шифрования? у меня есть файл config.php в нем вписан логин и пароль от БД, я зашифровал этот файл, как мне использовать эти логин и пароль? 0

@Wegik 0 / 0 / 1 Регистрация: 23.08.2014 Сообщений: 63
		1
	Безопасное хранение файлов или безопасное подключение к БД 16.09.2014, 00:00. Показов 1848. Ответов 15 Метки нет (Все метки) Возник такой вопрос. Подключение к БД делаю с помощью include который загружает файл содержащий строку подключения с логином и паролем. Теперь возник вопрос безопасности, ведь этот файл вполне возможно скачать. Как можно защитить подобные вещи? Или может подключаться нужно каким то другим образом? Пользуюсь MySQL __________________ Помощь в написании контрольных, курсовых и дипломных работ здесь 0

@Voka 207 / 199 / 110 Регистрация: 27.12.2010 Сообщений: 819 Записей в блоге: 1
	16.09.2014, 00:20	2
	php файл не скачать, если сервер не взломан 0

@Wegik 0 / 0 / 1 Регистрация: 23.08.2014 Сообщений: 63
	16.09.2014, 22:07 [ТС]	3
	Voka, то есть логин и пароль можно хоть открыто в файл написать? Ну может есть возможность посмотреть исходный код php? Я конечно читал что его выбирают так же из-за безопасности, но что то не очень верится что прям никак нельзя посмотреть исходный код страницы. 0

@Voka 207 / 199 / 110 Регистрация: 27.12.2010 Сообщений: 819 Записей в блоге: 1
	16.09.2014, 22:12	4
	Сообщение было отмечено Wegik как решение Решение Ну если только у тебя нет на сайте мест для SQL инъекций или XSS. Посмотри на все популярные CMS типа Wordpress, DLE, phpBB и т.п. пароль и логин от базы храниться в файле config.php или подобном и хранится открыто. Ты же дома хранишь деньги в кошельке, а не в сейфе, хоть и знаешь, что могут квартиру обворовать, поэтому ты поставил входную дверь, хороший замок, окна и мало кому рассказываешь про свои сбережения, также и в php. Если сайт не интересен злоумышленникам то плевали они на него. Я сам когда начинал пользоваться php тоже не понимал этого. 1

@Seovin 79 / 79 / 36 Регистрация: 28.02.2014 Сообщений: 400
	16.09.2014, 22:26	5
	закодируй 0

@Voka 207 / 199 / 110 Регистрация: 27.12.2010 Сообщений: 819 Записей в блоге: 1
	16.09.2014, 22:28	6
	Сообщение от Seovin закодируй Прошу пример в студию или по подробнее идею 0

@Wegik 0 / 0 / 1 Регистрация: 23.08.2014 Сообщений: 63
	16.09.2014, 22:48 [ТС]	8
	Seovin, при виде вашего "кода", очень сложно правильно сформулировать вопрос. Как? Что это? Как интерпретатор php может понять что это? Если это зашифрованный код, то значит есть его " переводчик", и вполне возможно узнать что там? 0

@Voka 207 / 199 / 110 Регистрация: 27.12.2010 Сообщений: 819 Записей в блоге: 1
	16.09.2014, 22:49	9
	Сообщение от Seovin вот подключение к базе ОК, как его выполнить? 0

@Seovin 79 / 79 / 36 Регистрация: 28.02.2014 Сообщений: 400
	16.09.2014, 22:53	10
	ionCube это как хеш мд5 практически не возвратим. 0

@Seovin 79 / 79 / 36 Регистрация: 28.02.2014 Сообщений: 400
	16.09.2014, 22:58	12
	на сервере устанавливается декодер 0

Опции темы

@Voka 207 / 199 / 110 Регистрация: 27.12.2010 Сообщений: 819 Записей в блоге: 1
	16.09.2014, 23:01	13
	Сообщение от Seovin на сервере устанавливается декодер ДЕкодер, ок. Когда php файлу нужен логин и пароль то он обращается к декодеру, он декодирует и возвращает логин и пароль. Злоумышленник тек-же легко может этим декодером воспользоваться если получит доступ к исходникам 0

@Wegik 0 / 0 / 1 Регистрация: 23.08.2014 Сообщений: 63
	16.09.2014, 23:03 [ТС]	14
	Seovin, если злоумышленник все таки получил доступ к подобному коду, то что мешает ему его "декодировать"? Подобрать md5 как то можно, значит и это лишь просто займёт немного времени и него? 0

@Voka 207 / 199 / 110 Регистрация: 27.12.2010 Сообщений: 819 Записей в блоге: 1
	16.09.2014, 23:05	15
	Сообщение от Wegik Подобрать md5 как то можно, значит и это лишь просто займёт немного времени и него? Подобрать можно но очень сложно. Декодировать средствами сайта проще) 0

@Seovin 79 / 79 / 36 Регистрация: 28.02.2014 Сообщений: 400
	16.09.2014, 23:10	16
	Сообщение от Wegik Seovin, если злоумышленник все таки получил доступ к подобному коду, то что мешает ему его "декодировать"? Подобрать md5 как то можно, значит и это лишь просто займёт немного времени и него? как писал WOKA надо хороший сайт иметь чтоб привлечь крекера, хакера или злоумышленика, Вы погуглите лутчше, не просто много разжовывать надо, Но если кратко: перед кодированием задаёшь пароль, перед декодиророванием нужен тот же пароль. ну типа чёто того 0

Безопасное хранение файлов или безопасное подключение к БД

Решение