PHP-Sicherheit – Zugriffsrechte offengelegt

Zugriffsrechte offengelegt

Eines der Hauptprobleme bei der Nutzung einer Datenbank ist die Offenlegung von Zugriffsrechten, d. h. Benutzername und Passwort. Zur Vereinfachung der Programmierung wird im Allgemeinen eine db.inc-Datei zum Speichern verwendet, z. B.:

CODE:

<?php
 
$db_user = &#39;myuser&#39;;
$db_pass = &#39;mypass&#39;;
$db_host = &#39;127.0.0.1&#39;;
 
$db = mysql_connect($db_host, $db_user,
$db_pass);
 
?>

Benutzernamen und Passwörter sind sensible Daten und erfordern besondere Aufmerksamkeit. Die Tatsache, dass sie im Quellcode geschrieben sind, birgt Risiken, ist aber ein unvermeidbares Problem. Wenn Sie dies nicht tun, ist Ihre Datenbank nicht durch einen Benutzernamen und ein Passwort geschützt.

Wenn Sie die Standardversion von http.conf (Apaches Konfigurationsdatei) lesen, werden Sie feststellen, dass der Standarddateityp text/plain (einfacher Text) ist. Wenn eine Datei wie db.inc im Stammverzeichnis der Website gespeichert wird, besteht auf diese Weise ein Risiko. Alle im Stammverzeichnis der Website befindlichen Ressourcen verfügen über entsprechende URLs. Da Apache die Art der Verarbeitungsmethode für Dateien mit dem Suffix .inc nicht definiert, wird diese beim Zugriff auf diese Art von Datei in Form von gewöhnlichem Text zurückgegeben ( der Standardtyp ), sodass Zugriffsrechte dem Browser des Clients offengelegt werden.

Um dieses Risiko weiter zu veranschaulichen, betrachten Sie einen Server mit /www als Stammverzeichnis der Website. Wenn db.inc in /www/inc gespeichert ist, hat es seine eigene URL http://www.php.cn/ (angenommenes Beispiel). .org ist der Host-Domänenname). Wenn Sie auf diese URL zugreifen, können Sie die Quelldatei von db.inc im Textmodus anzeigen. Unabhängig davon, in welchem ​​Unterverzeichnis von /www Sie die Datei speichern, können Sie das Risiko einer Offenlegung von Zugriffsberechtigungen nicht vermeiden.

Die beste Lösung für dieses Problem besteht darin, es in einem Include-Verzeichnis außerhalb des Website-Stammverzeichnisses zu speichern. Sie müssen sie nicht an einem bestimmten Ort im Dateisystem ablegen, um sie einzubinden. Sie müssen lediglich sicherstellen, dass der Webserver Lesezugriff auf sie hat. Daher besteht kein unnötiges Risiko darin, sie im Stammverzeichnis der Website abzulegen, und alle Bemühungen, das Risiko zu verringern, sind vergeblich, solange sich die enthaltenen Dateien im Stammverzeichnis der Website befinden. Tatsächlich müssen Sie nur die Ressourcen, auf die über URLs zugegriffen werden muss, im Stammverzeichnis der Website platzieren. Schließlich handelt es sich hierbei um ein öffentliches Verzeichnis.

Die vorherigen Themen sind auch für SQLite-Datenbanken nützlich. Das Speichern der Datenbank im aktuellen Verzeichnis ist sehr komfortabel, da Sie nur den Dateinamen aufrufen müssen, ohne einen Pfad anzugeben. Allerdings stellt die Speicherung der Datenbank im Stammverzeichnis der Website ein unnötiges Risiko dar. Wenn Sie keine Sicherheitsmaßnahmen ergreifen, um den direkten Zugriff zu verhindern, ist Ihre Datenbank gefährdet.

Wenn es aufgrund externer Faktoren unmöglich ist, alle Include-Dateien außerhalb des Website-Stammverzeichnisses zu platzieren, können Sie Apache so konfigurieren, dass Anfragen nach .inc-Ressourcen abgelehnt werden.

CODE:

<Files ~ "\.inc$">
  Order allow,deny
  Deny from all
</Files>

Übersetzungshinweis: Wenn ich das schreibe, nur weil ich ein Beispiel geben möchte, ist es verständlich. Schließlich hat jeder einige Methoden gelernt, aber dieses Beispiel ist etwas stumpf. Benennen Sie die Datei einfach in db.inc.php um. Es ist, als würde man nicht ein Loch in einem Haus reparieren, sondern draußen ein größeres Haus bauen, um das kaputte Haus abzudecken.

In Kapitel 8 erfahren Sie auch eine weitere Möglichkeit, die Offenlegung des Datenbankzugriffs zu verhindern, was in einer Umgebung mit gemeinsam genutzten Servern sehr effektiv ist (wo immer noch das Risiko einer Offenlegung besteht, obwohl sich die Dateien außerhalb des Website-Stammverzeichnisses befinden).

Das Obige ist der Inhalt der Offenlegung von PHP-Sicherheitszugriffsberechtigungen. Weitere verwandte Inhalte finden Sie auf der chinesischen PHP-Website (www.php.org). php.cn)!