Hallo Leute,
ich erstelle gerade eine eigene CMS und darin würd ich gerne eine Hackersichere DB Verbindung einbauen. Im Moment verwende ich diese DB Verbindung:blush:hostname = „xxx“;
$database = „xxx“;
$username = „xxx“;
$password = „xxx“;
$db_connections = mysql_pconnect($hostname, $username, $password);Gibt es eine sicherere Möglichkeit die DB zu verbinden?
Welche Aspekte sollte ich beachten?
Ändern der Bezeichnung von Variablen?
Besten Dank für AW und Hilfestellungen,
Chris
Benutze ein gutes Passwort und sichere deinen Server richtig ab. Die richtige Arbeit beginnt dann mit den Queries in denen etwas in die Datenbank eingetragen wird. Das führt dann aber zu weit, da wirst du dich einfach ausführlich belesen und in freier Software (symfony2 etc) umschauen müssen. Stichwörter: XSS, SQL Injection, Zero-Byte Injection, etc.
Hi,
Hallo Leute,
ich erstelle gerade eine eigene CMS und darin würd ich gerne
eine Hackersichere DB Verbindung einbauen. Im Moment verwende
ich diese DB Verbindung:blush:hostname = „xxx“;
$database = „xxx“;
$username = „xxx“;
$password = „xxx“;
$db_connections = mysql_pconnect($hostname, $username,
$password);Gibt es eine sicherere Möglichkeit die DB zu
verbinden?
Welche Aspekte sollte ich beachten?
Ändern der Bezeichnung von Variablen?
Also zum einen würde ich dir empfehlen, bei allen Methoden die du verwendest das php manual zu rate zu ziehen. Dort wäre dir folgendes aufgefallen -> http://php.net/manual/de/function.mysql-pconnect.php siehe Warnung!
mit dem Rat zur nutzen von PDO. (Man sollte immer PDO verwenden)
Wenn du ein CMS bauen möchtest, sollten die Verbindungsdaten ja konfigurierbar sein (Maske) für den späteren Nutzer. Hier würde ich eine LocalSettings.php nehmen, die beim Installationsvorgang eingestellt und geschrieben wird und welche required ist für die Benutzung deines CMS. Diese Datei sieht dann so aus:
define(„HOST“,„127.0.0.1“);
define(„DB“,„youdb“);
usw…
Was du sonst noch beachten musst wurde dir ja schon gesagt…und immer die Manual lesen zu allem was man macht…hilft ungemein, da im www es zu viele schlechte Tutorials im Bezug php gibt, leider. (ich behaupte mal 80% der PHP-Programmierer können gar nicht „programmieren“, glaub es gab sogar mal eine Studie von heise darüber).
Gruß XXD
Hallo!
Ich habe gerade gesehen, dass du noch „mysql_pconnect“ verwendest.
Der neue Befehl dafür lautet „mysqli_connect“ und einfach „p:“ vor Hostname.
Kannst nun entscheiden 