Как спрятать пароль доступа к базе от фрилансера?

@vlad-55 · Регистрация: 21.02.2009

Студворк — интернет-сервис помощи студентам

Фрилансер будет модернизировать сайт, который использует платную удаленную базу данных с оплатой за каждый запрос. Для выполнения работы мне придется предоставить ему доступ к серверу по FTP. При этом фрилансер будет иметь возможность прочесть содержимое файла config.php, в котором указан пароль доступа к базе.

И это нехорошо, поскольку возникает опасность того, что под нашим логином фрилансер будет в дальнейшем использовать эту базу в своих интересах.

Можно как-то решить этот вопрос?

В частности, лишить фрилансера доступа к этому конкретному файлу config.php и каким-то образом запретить к нему удаленный инклуд?

@basili4 · 22.06.2012, 21:05

Без вариантов.

@vlad-55 · 22.06.2012, 23:39 **[ТС]**

Так уж и без вариантов?

А если config.php разместить на специально зарегистрированном домене, размещенном на этом же акаунте хостинга, то для скрипта он будет доступен, а для FTP - нет.

Разве не вариант?

DrobyshevAlex · 23.06.2012, 01:38

Если ваш скрипт имеет доступ к коду, а фрилансер имеет доступ к скрпиту, то фрилансер может обратится чреез сркипт к ктому коду.

получится пароль, но не получится запретить фрилансеру запустить скрпит. но тчо бы преенисти пароль и скрыть, вам нужно полностью соединение с базой туда перенести, что бы вашь сркипт не получал пароль оттуда и конектился к базе, а окнектился оттуда.

@Koran · 23.06.2012, 02:46

и это вы по живому хотите модернизировать сайт?
сделайте на поддомене дубликат, запузырьте полупустую БД с другим паролем и пускай себе модернизирует как хочет, потом просто перепишете конфиг БД и дело с концом

@vlad-55 · 23.06.2012, 09:15 **[ТС]**

Сообщение от DrobyshevAlex

нужно полностью соединение с базой туда перенести

Да, это было бы разумно, я так и сделаю.
Спасибо!

Сообщение от DrobyshevAlex

не получится запретить фрилансеру запустить скрпит

Может ли фрилансер заинклудить файл config.php, содержащий полное соединение с базой, с какого-то другого, со своего сервера?
И можно ли предотвратить удаленный инклуд?

DrobyshevAlex · 23.06.2012, 13:39

По умолчанию не может. Так как вызов будет через вэб сервер, то ему вернётся результат выполнения скрипта.
Можно разрешить инклуд, и тогда можно будет инклудить, но так делать плохо

@vlad-55 · 23.06.2012, 14:07 **[ТС]**

Интересно было бы узнать, как разрешить удаленный инклуд? Узнать для того, чтобы убедиться, что у меня он запрещен.

DrobyshevAlex · 23.06.2012, 15:10

PHP
1
2
allow_url_fopen = On
allow_url_include = On

в натсройках пхп.
а на удалённом серере файл не должен обрабатываться как php сркипт. то есть можно например через htacces сказать что бы файл отдавался как текст. Или же расширение сделать ен php а txt или inc. Вообщем любое которое не обрабатывается а отдаётся.

@vlad-55 · 23.06.2012, 16:17 **[ТС]**

Сообщение от DrobyshevAlex

PHP
1
2
allow_url_fopen = On
allow_url_include = On

в натсройках пхп. .

Именно это и есть в настройках у хостера. Только не пойму, что это означает: удаленный инклуд включен или выключен?

KOPOJI · 23.06.2012, 17:09

Сообщение от vlad-55

Только не пойму, что это означает: удаленный инклуд включен или выключен?

включен))

DrobyshevAlex · 23.06.2012, 17:16

Ну если на выключателе света написано On/Off или на пульте телевизора. То что значит On?

@vlad-55 · 23.06.2012, 17:24 **[ТС]**

Я был настолько уверен, что удаленный инклуд изначально будет отключен, что даже не мог поверить очевидному. Потому и решил переспросить - мало ли что бывает!

KOPOJI · 23.06.2012, 17:40

Не по теме:

все может быть, все может статься.. и On как Off вдруг может статься..:D

DrobyshevAlex · 23.06.2012, 19:34

Я не пойму, а какая Вам разница вклчюен он у вас или нет? Если вы выложите конфиг на другом хостинге, то не важно у вас он включен или нет, его можно будет браузером даже открыть, без вашего хостинга, просто ссылку только глянуть нужно у вас на сайте.

@Денис Н. · 24.06.2012, 01:53

включен

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .	SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .
SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .

@vlad-55 156 / 20 / 5 Регистрация: 21.02.2009 Сообщений: 2,787

	Как спрятать пароль доступа к базе от фрилансера? 22.06.2012, 20:38. Показов 3649. Ответов 15 Метки нет (Все метки) Фрилансер будет модернизировать сайт, который использует платную удаленную базу данных с оплатой за каждый запрос. Для выполнения работы мне придется предоставить ему доступ к серверу по FTP. При этом фрилансер будет иметь возможность прочесть содержимое файла config.php, в котором указан пароль доступа к базе. И это нехорошо, поскольку возникает опасность того, что под нашим логином фрилансер будет в дальнейшем использовать эту базу в своих интересах. Можно как-то решить этот вопрос? В частности, лишить фрилансера доступа к этому конкретному файлу config.php и каким-то образом запретить к нему удаленный инклуд? 0

@basili4 201 / 199 / 4 Регистрация: 13.06.2012 Сообщений: 1,009 Записей в блоге: 3
	22.06.2012, 21:05
	Без вариантов. 1

@vlad-55 156 / 20 / 5 Регистрация: 21.02.2009 Сообщений: 2,787
	22.06.2012, 23:39 [ТС]
	Так уж и без вариантов? А если config.php разместить на специально зарегистрированном домене, размещенном на этом же акаунте хостинга, то для скрипта он будет доступен, а для FTP - нет. Разве не вариант? 0

DrobyshevAlex 1178 / 1128 / 94 Регистрация: 31.05.2012 Сообщений: 3,060
	23.06.2012, 01:38
	Если ваш скрипт имеет доступ к коду, а фрилансер имеет доступ к скрпиту, то фрилансер может обратится чреез сркипт к ктому коду. получится пароль, но не получится запретить фрилансеру запустить скрпит. но тчо бы преенисти пароль и скрыть, вам нужно полностью соединение с базой туда перенести, что бы вашь сркипт не получал пароль оттуда и конектился к базе, а окнектился оттуда. 1

@Koran мастер топоров 917 / 742 / 101 Регистрация: 16.08.2009 Сообщений: 1,476
	23.06.2012, 02:46
	и это вы по живому хотите модернизировать сайт? сделайте на поддомене дубликат, запузырьте полупустую БД с другим паролем и пускай себе модернизирует как хочет, потом просто перепишете конфиг БД и дело с концом 1

DrobyshevAlex 1178 / 1128 / 94 Регистрация: 31.05.2012 Сообщений: 3,060
	23.06.2012, 13:39
	По умолчанию не может. Так как вызов будет через вэб сервер, то ему вернётся результат выполнения скрипта. Можно разрешить инклуд, и тогда можно будет инклудить, но так делать плохо 1

@vlad-55 156 / 20 / 5 Регистрация: 21.02.2009 Сообщений: 2,787
	23.06.2012, 14:07 [ТС]
	Интересно было бы узнать, как разрешить удаленный инклуд? Узнать для того, чтобы убедиться, что у меня он запрещен. 0

DrobyshevAlex 1178 / 1128 / 94 Регистрация: 31.05.2012 Сообщений: 3,060
	23.06.2012, 17:16
	Ну если на выключателе света написано On/Off или на пульте телевизора. То что значит On? 1

@vlad-55 156 / 20 / 5 Регистрация: 21.02.2009 Сообщений: 2,787
	23.06.2012, 17:24 [ТС]
	Я был настолько уверен, что удаленный инклуд изначально будет отключен, что даже не мог поверить очевидному. Потому и решил переспросить - мало ли что бывает! 0

KOPOJI
	23.06.2012, 17:40
	Не по теме: все может быть, все может статься.. и On как Off вдруг может статься..:D 1

@Денис Н. 463 / 463 / 23 Регистрация: 17.08.2011 Сообщений: 1,488
	24.06.2012, 01:53
	включен 1

DrobyshevAlex 1178 / 1128 / 94 Регистрация: 31.05.2012 Сообщений: 3,060
	23.06.2012, 19:34
	Я не пойму, а какая Вам разница вклчюен он у вас или нет? Если вы выложите конфиг на другом хостинге, то не важно у вас он включен или нет, его можно будет браузером даже открыть, без вашего хостинга, просто ссылку только глянуть нужно у вас на сайте. 1