[MySQL] niet veilig?

[anoniem]

hallo iedereen, ik vroeg me af: als ik gebruik ga maken van MySQL (heb ik geen ervaring mee dus btw..) dan verbind ik dus via een script (php..) verbinding met de server :) tot daar volg ik het ghehe maar dan: stel dat doe je zo: [code:1:bcf7d3912b]$host = "localhost"; $user = "gebruiker"; $pass = "wachtwoord"; $db = "database"; $table = "table";[/code:1:bcf7d3912b] nou dat is leuk en aardig, maar als nu iemand drukt op: bron weergeven dan ziet 'ie gelijk de gebruikersnaam en het passwoord van jou, toch!? dan is MySQL toch toch helemaal niet veilig, en leuk, want dant heeft iedereen toegang tot jou server.. zie ik dit verkeerd? of hoe zit het nou? want dat lijkt me niet echt relaxed ghehe =S anyway ik hoop dat jullie me kunnen helpen =) Dionysus.

[anoniem]

zet het geheel in een include......

[anoniem]

[quote:e9fbdac54e="katrien"]zet het geheel in een include......[/quote:e9fbdac54e]Dat heeft er niets mee te maken. PHP files worden (als de server tenminste juist geconfigureerd is) geparst en alleen de output (meestal dus de HTML) wordt naar de browser gestuurd. Zonder dat je dus die wachtwoorden zelf in je output wegschrijft zullen deze niet voor de bezoeker zichtbaar zijn.

[anoniem]

[quote:0e7b7a4b75="Bill Gates"][quote:0e7b7a4b75="katrien"]zet het geheel in een include......[/quote:0e7b7a4b75]Dat heeft er niets mee te maken. PHP files worden (als de server tenminste juist geconfigureerd is) geparst en alleen de output (meestal dus de HTML) wordt naar de browser gestuurd. Zonder dat je dus die wachtwoorden zelf in je output wegschrijft zullen deze niet voor de bezoeker zichtbaar zijn.[/quote:0e7b7a4b75] uhm ik zit nog in een iets lager niveau met dit dan jullie/jij; Bill.. anyway: uhm je zegt dus dat als ik het er neer zet, toch niemand het kan zien? das mooi zeg ik =D :D ff uitproberen dan maar.. ghehe

[anoniem]

Ik heb toch al diverse malen gezien, dat er iets mis was op een server, waardoor de code dus niet geparst werd, maar gewoon in de browser verscheen. Om zeker te gaan, kun je deze dingen in een include opnemen, en die buiten je webroot zetten. Geeft toch een iets veiliger gevoel.

[anoniem]

[quote:cd8ee94e07="gerben"]Ik heb toch al diverse malen gezien, dat er iets mis was op een server, waardoor de code dus niet geparst werd, maar gewoon in de browser verscheen. Om zeker te gaan, kun je deze dingen in een include opnemen, en die buiten je webroot zetten. Geeft toch een iets veiliger gevoel.[/quote:cd8ee94e07] ja goed idee =) tnx.. ennuh dan kan niemand het passwoord zien, dat is zeker hè? dus dan kunnen ze ook geen [code:1:cd8ee94e07]view-source:http://dinges/dinges.php[/code:1:cd8ee94e07] gebruiken want het staat buiten de webroot.. haha.. dat ik daar nog niet aan gedacht had ghehe naja tnx ppl.. =D :D

[anoniem]

Als[code:1:421c9d3069]<?php $var = "top_secrect_password"; ?>[/code:1:421c9d3069]Opgeslagen wordt als .php bestand (er vanuit gaande dat .php de juiste header mee krijgt om door PHP geparst te worden). En je bekijkt vervolgens dat bestand met je browser dan zul je zien dat er geen inhoud in zit. Pas als je 'print' of 'echo' gaat gebruiken (of dergelijke functies) zul je output zien op het scherm. Bill -> f=13 ;)

[anoniem]

[quote:7b6f3ad718="termin8or"]Als[code:1:7b6f3ad718]<?php $var = "top_secrect_password"; ?>[/code:1:7b6f3ad718]Opgeslagen wordt als .php bestand (er vanuit gaande dat .php de juiste header mee krijgt om door PHP geparst te worden). En je bekijkt vervolgens dat bestand met je browser dan zul je zien dat er geen inhoud in zit. Pas als je 'print' of 'echo' gaat gebruiken (of dergelijke functies) zul je output zien op het scherm. Bill -> f=13 ;)[/quote:7b6f3ad718] uhm ik loop nog wel een beetje achter want hier volg ik echt [i:7b6f3ad718]helemaal[/i:7b6f3ad718]niks van ghehe maarre wat ik net zei, [quote:7b6f3ad718="MAXimum"]... dus dan kunnen ze ook geen [code:1:7b6f3ad718]view-source:http://dinges/dinges.php[/code:1:7b6f3ad718] gebruiken want het staat buiten de webroot.. [/quote:7b6f3ad718] dat klopt dus ook niet, want je kan doen: [code:1:7b6f3ad718]view-source:http://mijnserverip/../top_secret_pass.php[/code:1:7b6f3ad718] en dan heb je de bron daarvan alsnog, en dan heb je mijn pass.. toch!? :( :-? uik volg 't ff niet meer.. ik ben weer trug bij wat ik d8 toen ik deze post begon ghehe

[anoniem]

[quote:fa88684c0c="termin8or"]Bill -> f=13 ;)[/quote:fa88684c0c]Ik weet het ;) Verplaatst van "Webdesign" naar "Webprogrammeren".

[anoniem]

[quote:bb4ee4ed2e]en dan heb je de bron daarvan alsnog, en dan heb je mijn pass.. toch!? [/quote:bb4ee4ed2e]Nee, fout. Sla mijn hele kleine stukje code op als 'test.php', niks veranderen ;-). Zet het op je server en open het in je browser en vertel mij wat er in de broncode staat... Mocht er iets in de broncode staan, geef dan een linkje a.u.b.

[anoniem]

Als je MySQL niet veilig vind gebruik je het toch niet :-? :roll: En indien je persé een db nodig hebt kun je altijd eens gaan kletsen met Oracle ofzo. Die willen je maar wat graag zo'n ding aansmeren, maar dan ben je wél enkele duizenden plEuro's armer.... MySQL is veilig, mits je goed bedenkt wat je aan het doen bent. Iemand kan jaren en jaren bezig zijn met het kraken v/d beveiliging als je je username en password zorgvuldig kiest. Met name je pw dient te bestaan uit een langere reeks willekeurige tekens uit het ASCII alfabet. PHP is een 'servertaal' dwz dat de vragende browser alléén de uitkomsten v/d actie ontvangt. Uiteraard dien je die server dan wel zorgvuldig te configureren, maar als je dat niet kunt door bv gebrek aan kennis moet je niet aan zo'n project beginnen... Maar da's [i:fc4991d8d8]mijn[/i:fc4991d8d8] mening :P Groet, M.V. Wesstein

[anoniem]

[quote:01e95fa7b3="M.V. Wesstein"]Als je MySQL niet veilig vind gebruik je het toch niet :-? :roll: En indien je persé een db nodig hebt kun je altijd eens gaan kletsen met Oracle ofzo. Die willen je maar wat graag zo'n ding aansmeren, maar dan ben je wél enkele duizenden plEuro's armer.... MySQL is veilig, mits je goed bedenkt wat je aan het doen bent. Iemand kan jaren en jaren bezig zijn met het kraken v/d beveiliging als je je username en password zorgvuldig kiest. Met name je pw dient te bestaan uit een langere reeks willekeurige tekens uit het ASCII alfabet. PHP is een 'servertaal' dwz dat de vragende browser alléén de uitkomsten v/d actie ontvangt. Uiteraard dien je die server dan wel zorgvuldig te configureren, maar als je dat niet kunt door bv gebrek aan kennis moet je niet aan zo'n project beginnen... Maar da's [i:01e95fa7b3]mijn[/i:01e95fa7b3] mening :P Groet, M.V. Wesstein[/quote:01e95fa7b3] ja maar ik ben deze post niet begonnen om (slechte) kritiek erop te geven, maar om eruit te komen hoe het werkt, want ik had er ff slechte ideeen van. maar tnx anyway.. en termin8or: zal'k is ff doen.. vanavond dan, ik moet nu weg =) CyA.

[anoniem]

[quote:eba6c94325="MAXimum"][code:1:eba6c94325]view-source:http://mijnserverip/../top_secret_pass.php[/code:1:eba6c94325][/quote:eba6c94325] Vreemd.... Maar die doet ook niets bij mij. Of ben ik nou gek

[anoniem]

[quote:793213a676="sjouken"][quote:793213a676="MAXimum"][code:1:793213a676]view-source:http://mijnserverip/../top_secret_pass.php[/code:1:793213a676][/quote:793213a676] Vreemd.... Maar die doet ook niets bij mij. Of ben ik nou gek[/quote:793213a676] het was maar een gokje, ik heb het zelf ook nog niet uitpgeprobeerd =D eh en termin8or: je hebt helemaal gelijk.. ik heb dat gedaan, en de bron was: [code:1:793213a676]<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML><HEAD> <META http-equiv=Content-Type content="text/html; charset=windows-1252"></HEAD> <BODY></BODY></HTML>[/code:1:793213a676] terwijl ik dus [code:1:793213a676]<?php $var = "top_secrect_password"; ?>[/code:1:793213a676] had ingevoerd :D tnx u all =D --> ik heb vertrouwen gekregen in MySQL hehe handig, zeg ik :D

[anoniem]

[quote:b04621947c="MAXimum"] :D tnx u all =D --> ik heb vertrouwen gekregen in MySQL hehe handig, zeg ik :D[/quote:b04621947c] zal ik het als afsluiterend iets is proberen het uit teleggen: de webserver interpetert alles tussen <?php en ?> als een php script en verwerkt deze bij de server, javascript (tsusen <script> & </script>) daarin tegen wordt herkend als normale html en de browser (de client) herkent alles tussen <script> & </script> als een javascript dus verwerkt hij deze maar omdat de code aan de client kan wordt verwerkt krijg je het te zien. bij server kan dat niet...