[Feuerstern]

Hallo Leute
Ist es sicher die Verbindungsdaten zu einer Datenbank (Passwort usw) in PHP direkt in den Code zu schreiben?
Da PHP Scripte direkt auf dem Server verarbeitet werden, sollte in der Regel ja keiner an die Daten kommen, aber ich wollte zur Sicherheit trotzdem lieber nachfragen.

Desweiteren stelle ich mir die Frage ob ein Verzeichnisschutz über die htaccess ausreichend ist (AuthType Basic), ein gutes Passwort vorausgesetzt natürlich, um in einen bestimmten Teil der Seite nur mit Login zu kommen. Von dort aus sollen nämlich Daten in die Datenbank geschrieben werden.

Grüße
Feuerstern

[Vertaler]

Vorausgesetzt, du hast vollen Serverzugriff, würde ich solche Konfigurationsdateien außerhalb des DocumentRoot-Verzeichnisses ablegen. So ist es zumindest von außen nicht mehr direkt erreichbar bei einer Fehlkonfiguration des Apache-Servers.

Wenn jemand Serverzugriff hat oder es irgendwie per Code Injection schafft, Skripte ausführen zu können, hilft dir das natürlich auch nicht. Aber das hat man ja in den Skripten (und der PHP-Konfiguration) selbst in der Hand, während man als normalerweise als Entwickler wenig oder gar nichts mit der Serverkonfiguration zu tun hat.

[Feuerstern]

Danke für den Tipp.
Weißt du auch ob es in Ordnung ist die Verbindungsdaten zur Datenbank im PHP Code zu haben?

Grüße