Povezivanje sa bazom

Pozz :slight_smile:

Upravo citam ovaj tutorijal:

http://phpsec.org/projects/guide/sr/3.html

I pise:

[quote=""]Moj omiljeni metod za zaštitu podataka pristupa bazi podataka je opisan u knjizi PHP kuvar (PHP Cookbook O’Reilly) od strane David-a Sklar-a i Adam-a Trachtenberg-a. Kreirajte fajl, /path/to/secret-stuff, koji samo root korisnik može da čita (ne nobody):

SetEnv DB_USER "myuser"
SetEnv DB_PASS “mypass”

Priključite ovaj fajl u httpd.conf kao što sledi:

Include “/path/to/secret-stuff”

Sada možete da koristite $_SERVER[‘DB_USER’] i $_SERVER[‘DB_PASS’] u vašem kodu. Ne samo da nikad nećete morati da pišete svoje korisničko ime i šifru u bilo kom vašem skriptu, web server ne može da čita secret-stuff fajl, tako da ni jedan drugi korisnik ne može da napiše skript koji čita vaše podatke pristupa (bez obzira na jezik). Samo budite pažljivi da ne prikazujete ove promenljive sa nečim kao phpinfo() ili print_r($_SERVER).[/quote]

Moze li neko da mi objasni, da li ime fajla mora da bude “/path/to/secret-stuff”, ili samo “secret-stuff” ili pak neko moje ime? Ako je ime po izboru, koja ekstenzija fajla mora da bude? .php?

Include “/path/to/secret-stuff”

Da li se to upisuje u .htaccess?

I, kada sve podesim, koji kod kucam za uspostavljanje konekcije sa bazom?

Hvala unapred na pomoci :slight_smile:

Meni se cini da je to bespotrebno kompliciranje koje ne utjece nesto previse na sigurnost. A i cisto sumnjam da bi ti netko dopustio da modificiras httpd.conf datoteku …

Npr. ako imas hardkodirane podatke pristupa bazi u nekom PHP fajlu, to nije nista nesigurnije ako je imas u $_SERVER varijabli. Varijabla je varijabla, ako se moze jedna ispisati, jednako tako se moze i druga.

Puno bitnije su ostale zastite, npr. da je baza konfigurirana tako da ne prima udaljene konekcije, tako da ako netko i dodje do username-a i password-a, nece mu previse koristiti.

A zastita od SQL injection-a je sve samo ne laka.

Navodnici nisu potrebni oko svih podataka, stovise - nepotrebni su i nemaju previse smisla. Puno bitnije je jasno znati sta podatak jest i sta moze ici u koji dio query-ja.

Npr.

Dio sa sortiranjem nije dobro eskejpan i polozan je napadu.
Tako da, treba biti svjestan sta se radi i sta se moze iskoristiti u napadu. Cak i podaci u bazi bi se trebali tretirati kao nesigurni po nekima.

Osim toga, “addslashes” nije skroz dobar. Mislim da sve baze koje PHP podrzava imaju svoje nativne funkcije za eskejpanje stringova i one bi se uvijek trebale koristiti.


Copyright © 2020 WM Forum - AboutContact - Sponsored by: Mydataknox & Webmaster.Ninja