Je bezpečné uchovávat heslo od databáze v PHP kódu – PHP – Fórum – Programujte.com

Zdravím, potřeboval bych radu.

Vytvořil jsem si moje stránky a databázi, pomocí které načítám některé informace na stránky.

Přihlašovací údaje k databázi jsem vložil přímo do PHP souboru s kódem stránky. Je to bezpečné?

A příp. jak přihlašovací údaje k DB uložit jinak?

Předem moc děkuji za odpověď! A. J.

To je běžná praxe, klidně to tak nech. Akorát ne někde uprostřed kódu (který verzuješ/archivuješ), ale v samostatném konfiguračním souboru.

Bezpečné je to jenom tak, jak je bezpečný ten server/webovka.

To je obecne komplikovany problem. Par let nad tim premyslim, ukladam to ruzne.
1. config.php - nevyhodou je proflaknuty nazev, kam se hackeri zameri
2. slozka cfg/ ktera ma zvysena zabezpeceni proti php uzivatelum, ftp uzivatelum a je mimo program. Nevyhodou je, ze pri kopirovani programu na ni zapomenes
3. samostatne minisoubory pro ruzne prihlasovaci udaje, sql zvlast, ldap zvlast a pod. Do nejakeho configu pak odkazes na soubor a cestu k nemu. Tu cestu mas zabezpecenou. Vyhoda je, ze ziskas presne ty udaje, co chces a nemas jeden velky soubor s prihlasovacimi udaji. A nemas v configu zadne udaje, pouze pristupne pres php. Takze, kdyz kopirujes program, tak s nim nekopirujes i prihlasovani. O tom ted premyslim. A tez se to dobre verzuje. Ale je dobre pridat ukazku, jaka data z tech souboru ziskas.
 

--- config.php ---
$config = array();
require_once '../config/sql-root.php';  //$sql = array('user'=>'root' ...)
$config['sql'] = $sql;

A soucasne jeste delam to, ze udelam unset($sql). A v konstruktoru pro class-driveru mam prevzeti udaju. A hned dalsim prikazem je unsetnu i z $config. Takze bude muset hacker do class driveru, aby je vypsal A i tam je po nalogovani casto unsetnu. Jakoze nestaci pres php vypsat var_dump($config) a mas vse, co spravny hacker potrebuje :)

#3 peter 

--- config.php ---
$config['sql'] = include '../config/sql-root.php';  // return array('user'=>'root' ...)

Ovšem takhle složitě to nedělám. 

$sqlConfig = include '../config/sql-root.php';
$db = new MyPDO($sqlConfig);
$model = new Model($db);

Přesněji řečeno si po získání přístupových údajů tu databázi hned napůl otevřu a strčím do modelu, který ji už nikomu nedá.

A je takovy zpusob bezpecny? Vis, protoze s tim include ukladas do souboru text 

array(
	'host'  => 'localhost',
	'user'  => 'root',
	'psw'   => '',
	'db'    => 'kontakty',
	'tbl_pref' => 'k_',	// table prefix
	);

A pokud nekdo zhodi php, tak ti server zobrazi plain-text / php source-code, pokud je tak nastaveny. Ale to je mozna ok, protoze kdyz zobrazi i jiny php kod, tak je to spatne nastaveny server, opravneni do slozky a k souboru s configem. A tim padem by to bylo uplne jedno. Hlavne tomu treba dat aspon priponu php. Nicmene, porad je to include a kdyz tam nemas php tagy? Ale zkusim to, libi se mi to vic nez to me reseni. Jen se mi nechtelo tehdy premyslet nad jinymi moznsotmi, potreboval jsem resit kod programu.

<?php
return array(
	'host'  => 'localhost',
	'user'  => 'root',
	'psw'   => '',
	'db'    => 'kontakty',
	'tbl_pref' => 'k_'	// table prefix
	);
?>

Takze to musi byt takhle, aby to slo includovat jako $sqlConfig = include '../config/sql-root.php';
 

#7 peter
Hlavně to musíš umístit tam, kam Apache nemá přístup, ale PHP to bude umět includovat.

BTW: require_once ani include_once nepoužívám, nemám pro ně uplatnění.