Foros del Web » Programando para Internet » PHP »

Password a bdd en script php

Estas en el tema de Password a bdd en script php en el foro de PHP en Foros del Web. Hola, soy nuevo en esto del php, y prácticamente en esto de los leguajes interpretados, aunq no en la programación. Me surge una duda al ...
  #1 (permalink)  
Antiguo 25/04/2005, 06:17
 
Fecha de Ingreso: abril-2005
Mensajes: 16
Antigüedad: 12 años, 7 meses
Puntos: 0
Password a bdd en script php

Hola,

soy nuevo en esto del php, y prácticamente en esto de los leguajes interpretados, aunq no en la programación. Me surge una duda al respecto de tratar los accesos a uns bdd en un script php.

P.ej: Creo un script q accede a una bdd. El host/pwd lo debo escribir en el script en texto plano (sin encriptar). ¿Es seguro esto? Supongo q sí, pero me gustaría saber si se usan otros métodos o esto es lo habitual.

Un saludo y gracias, Simón!
  #2 (permalink)  
Antiguo 25/04/2005, 07:27
Avatar de alexjnm  
Fecha de Ingreso: octubre-2004
Ubicación: cuba
Mensajes: 218
Antigüedad: 13 años, 1 mes
Puntos: 1
hola simon
disculpa pero podrias esplicarte mejor que es lo que quieres por que a la verdad no entendi la pregunta.
saludos alex
__________________
__________________________________________________ _________
A beses el camino mas largo es la solución mas eficaz :)
  #3 (permalink)  
Antiguo 25/04/2005, 08:02
 
Fecha de Ingreso: abril-2005
Mensajes: 16
Antigüedad: 12 años, 7 meses
Puntos: 0
A ver con un ejemplo. Tengo q se conecta a una bdd así:

Código PHP:
$conex mysql_connect("localhost""user""pwd"
Entonces el usuario, y sobretodo el pwd, están en texto plano en el propio script. Me gustaría saber si es lo habitual y si es seguro.

Un saludo!
  #4 (permalink)  
Antiguo 25/04/2005, 09:53
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Pues es "seguro" en la medida que tu servidor HTTP donde corre PHP sea seguro (o si ejecutas PHP bajo CLI/PHP-GTK tengas protegido el acceso a ese directorio donde se encuentran tus scripts.

En condicones "normales" ejecutando PHP en entorno Web (bajo servidor HTTP) .. sólo esa "contraseña" de tu BD la verá si quiere tu administrador de tu servicio de hosting o servidor en general. A no ser que hagas algo tipo:

config.inc
Código PHP:
<?
$usuario
="nose";
$password="nose";
?>
script.php
Código PHP:
<?
include("config.inc");
$conex mysql_connect("localhost"$usuario$password);
// etc
Al usar como "extensión" .inc (o lo que sea que no sea .php o en general interpretada por PHP) .. si yo llamo a ese config.inc por el URL: http://www.nose.nose/config.inc .. se me entregará para descargar .. así que "veré" fácilmente esos datos ... En su defecto usa: config.inc.php .. para que sea interpretada ... como no hay salida . .no veremos nada. (haz la prueba).

Si realmente te preocupa que tu adminstrador pueda ver esos datos .. puedes "encriptar" todo tu código con herramientas como

Zend Encoder
www.zend.com

En otras ocasiones .. también puedes decir a tu configuración de PHP que conecte Mysql directamente con cierto usuario/contraseña al usar una llamada a mysql_connect() (sin parámetros .. así lo hace por ejemplo Lycos o lo hacía) .. Eso se ajusta en php.ini (?) o en my.ini (o my.conf) de Mysql ... Así .. aunque vea tus scripts .. no veré la contraseña .. Pero igualmente ese "adminstrador" lo va a ver de alguna forma (viendo la configuración de PHP) .. En definitiva casi todo este tema se basa en la "confianza" que tengas con tu administrador de tus Base de datos y sobre todo a que "base de datos" te conectas .. Lo normal será que uses las que tu própio servicio de hosting te proporciona .. en otros casos podría ser otra BD remota (ejemplo .. la de tu empresa que proporciona los datos .. pero es tu servicio de hosting el que te proporciona el acceso a las páginas corporativas en general).. Ahí si que "correría" peligro esa "contraseña". De todas formas, en esos casos lo que se suele hacer es crear usuarios de tu BD con permisos restringidos para algunas taréas que tu aplicación no hace por defecto .. cosas como "borrar tablas o alterarlas, reiniciar el servidor .. etc .. etc". Tus asplicaciones comunes sólo hacen "INSERT, UPDATE y DELETE a lo sumo .. ".

Un saludo,
  #5 (permalink)  
Antiguo 25/04/2005, 11:50
 
Fecha de Ingreso: abril-2005
Mensajes: 16
Antigüedad: 12 años, 7 meses
Puntos: 0
Muchas gracias por la respuesta. Lo preguntaba más q nada por estar seguro. Con respecto al host no tengo problemas, era más q nada por no dejar puertas abiertas a futuros ataques.

Gracias de nuevo. Un saludo, Simón.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 07:13.