Crear conexion a base de datos con php sin exponer la clave

Hola amigos del foro, soy un programador Jr. y estoy realizando mi primera aplicacion web en php para la empresa, mi problema es que me tengo que conectar a la base de datos de la empresa pero no quieren colocar la clave en el archivo asi nomas, yo lo hago de la forma tradicional asi:
mi pregunta es que como puedo hacer para que la clave no tenga que estar expuesta en este archivo ya que cualquiera pudiera verla en un notepad y eso es lo malo que muchas personas tienen acceso al servidor, como hago???

Movido al foro de PHP desde Bienvenida a Foros del Web.

Saludos,

Hola, una forma fácil es utilizando stripslashes(base64_encode($CODIGO) a tu código...

Hay otras formas más seguras como ionCube PHP Encoder, pero son de pago..

Saludos.

pero creo que si aplicas eso, (base64_encode($CODIGO) con aplicar lo contrario devolvera la clave, y si alguien es capaz de conseguir tu clave de la bbdd codificada de esa forma sera capaz de descodificarla

addslashes(base64_decode($code));

de todas formas si le das a ver- codigo fuente en el navegador solo veras el codigo HTML y nada del PHP

Tambien puedes poner la conexion a la BBDD en un archivo fuera del root y llamarlo con un include, de esta forma deberian hackear tu hosting para conseguirla, y ellos tendran, se supone, seguridad en su sistema.

include(../archivos/conexion.php);




Un saludo

Yo creo que éste tema es más de administración el servidor que de PHP... No conozco mucho las formas de enmascarar PHP, pero teniendo acceso al código fuente siempre habrá maneras de desencriptarlo. Creo recordar que había alguna posibilidad de compilar el código (y se supone que se gana rendimiento, además). Pero supongo que también se podrá descompilar...

Sinceramente, creo que vale más la pena ajustar los permisos del fichero de configuración para que sólo tengan acceso los usuarios justos, que intentar ofuscar la contraseña.

tener acceso a codigo fuente es desde el navegador,
ver-codigo fuente
y solo se puede ver el codigo HTML que PHP genera, pero nunca el codigo PHP, para eso habria que hackear el hosting
y eso suele ser bastante complicado.

Jaronu, no creo que se refiera a eso, sino a gente que tiene acceso al propio servidor, supongo que físico o remoto (ssh, telnet, rdp, etc...)

Si, tienes razon.

un saludo

ps creo que definitivamente, no se puede, y la unica solucion es que ese archivo sea restringido para cualquier personal de tu organizacion u otros..... ya que no creo que cualquiera tenga acceso al cpanel o al servidor web.

suerte.

segun el dice literalmente

"muchas personas tienen acceso al servidor"

a ya ps.... en todo caso, el solo se esta matando, ya que tendria que hacer auditorias a cada instante para detectar si alguien modifica algo.... tener backups y mucho mas.

solo aporto como ustedes compañeros foreros, que no debe ser lo mas apropiado que:
"muchas personas tienen acceso al servidor".

suerte.

Yo opto por esa opcion. Aunque alguien con conocimientos de PHP puede facilmente crear un script PHP para recoger las variables.

No deberias dejar que "muchas personas tengan acceso al servidor".
Si estas personas tienen acceso al servidor solo para subir archivos, crea una interface para dicha tarea y asi limitas el acceso al servidor.

Gracias a todos por responder, disculpen la tardanza pero me estaba quebrando la cabeza pensando en como lo tendria que hacer, al final decidi hacerlo asi:

claro, que para obtener $clave tuve que aplicar la inversa de base64, lo he hecho asi porque las personas que manejan el servidor son mas de redes que de programacion, ademas el dejar poco acceso al servidor depende de la empresa y no de mi persona, pero en fin...... gracias a todos por contribuir

Una alternativa a base64_encode() sería md5().

http://ar.php.net/manual/en/function.md5.php

He he... se olvidan de Ioncube... no es infalible pero hay un altísimo grado de encriptación...

El detalle es que... es de pago, pero como es empresa... Normal no?

Saludos

pues si tengo acceso al server como root y veo eso y quiero tener la password si o si tarde o temprano lo lograre, creo que la gente que tiene acceso al root en este caso debe ser gente capacitada ahora si solo quieren el server para jugar e instalar paquetes es otro cuento, deberian pasarles otra maquina, y si lo quieren para jugar a aprender como funciona linux se les crea una cuenta, aparte.....

todo va por un tema de manejo del servidor, no es necesario ser siempre root para trabajar en el server...

Cordila saludo,
lo que estoy tratando de implemetar que cada usuario del software tenga sus propios permisos de la base de datos.

Es decir, tras crear un usuario en el sistema, guardo en una tabla los datos del mismo, pero la autenticación la realiza la base de datos.

Si la base de datos rechaza la conexion por la constraseña del usuario entonces lanzo el error de "usuario/contraseña incorrectos", conociendo previamente el código error que devuelve la base de datos por dicho error, ya que si el problema es otro, la respuesta es otra.

Otra opcion es crear un usuario con permiso solo de consulta a la base de datos y tabla de "usuarios registrados".

Si alguien tiene pro o contras a estas opciones, me gustaria conocer su opincio, ya que aun estoy en etapa experimental.

yo pienso, si nadie mas es programador en la empresa... que se ganarían con ver los scripts... de editarlos es obvio, esta mal...!!

pero... para que ofuscar algo que solo tu sabrás manejar... total, si yo haría algo similar usaría localhost/root (sin contraseña) para conectarme... no se me hace un graaan riesgo si solo es local... es mas, configuraría el php.ini para auto conectar siempre... de ese modo solo se necesitarían escribir las querys y no las conexiones...

bueno, eso pienso yo... para que mal viajarse en hacer algo super complejo y de máxima seguridad si solo papá lo va usar (y solo sabe usar IE)

suerte!