Cześć! Jestem początkujący w tym temacie i mam do was kilka pytań odnośnie łączenia się z bazą MySQL za pomocą PHP.
Czy ktoś przeglądający stronę może podejrzeć skrypt PHP gdzie łącze się z bazą ( hasło do bazy ) ?
Jak zabezpieczyć się przed atakami na bazę?
Z góry dzięki!
Jeśli mówimy o bezpieczeństwie bazy danych od strony aplikacji (nie mówimy tu o zabezpieczeniu odpowiednich haseł dla administratora) to najczęściej w tym aspekcie mówi się o SQL inection.
O mocnych hasłach wiem ale odnosząc się od 1 pytania.
Czy ktoś mógłby zobaczyć plik PHP w którym łącze się z bazą?
Tam muszę podać nazwę i hasło aby się do bazy zalogować
Teoretycznie, jeśli serwer WWW/PHP jest poprawnie skonfigurowany, masz porobione .htaccess itp. a sam skrypt nie zrobi jakiejś głupoty (np. nie wypluje na ekran użytkownika czegoś w stylu nie dało się połączyć z baza pod adresem 22.34.22.34 z loginem MIECIU i hasłem PAruwa334!) to raczej nie ;)
Ale zawsze jest ryzyko jakiegoś włamania - wtedy osoba atakująca ma pełen dostęp do wszystkiego, co na serwerze się znajduje.
Po pierwsze trzymanie haseł w kodzie jest bardzo złą praktyką. Można trzymać to w plikach konfiguracyjnych i zaszyfrowane lub w specjalnie do tego przewidzianych usługach.
To takie klasyczne podejscie.