| |||
Seguridad - Necesito recomendación buenas...paso directamente a la cuestión. Tengo un archivo en formato php en donde tengo la información de mi base de datos (hostname, nombre usuario, password, etc) Quisiera recibir recomendaciones con respecto a la seguridad del acceso al mismo archivo debo tener (aparte de los permisos sobre el archivo). Una q pensé es encriptar el password en MD5, pero cada vez q accediera seria un tiempo razonable de procesamiento para la desencriptación. Bueno, escucho sugerencias, desde ya, muchas gracias !!!! |
| |||
Si lo encriptas en MD5 vas a quedar frito porque es un algoritmo de un solo sentido, no se puede desencriptar, y si se pudiera, cualquier otro podría desencriptarlo también. La verdad que no le veo ninguna vuelta interesante, salvo cuidarse con los permisos a nivel de sistema de archivos como ya mencionaste. Saludos! |
| |||
La mayoria de los sistemas de autenticacion, hasta la firma digital, usan MD5, lo que se hace es comparar el dato que ingreso el usuario aplicandole el algoritmo con lo que tenes en la base de datos.- |
| ||||
Entiendo tienes esos datos aparte... y llamas a el archivo por un include()... bueno puedes ocupar define() y defined()... http://mx2.php.net/manual/es/function.defined.php Checa los comentarios: Cita: Saludos! if (!defined("X")) { echo "You Cannot Access This Script Directly, Have a Nice Day."; exit(); } And your page is a good as protected :) add a note ![]()
__________________ ٩(͡๏̯͡๏)۶ "100 años después, la revolución no es con armas, es intelectual y digital" |
| |||
Hola, Primer consejo, meter el fichero fuera del directorio de la web. Muchos hostings te permiten acceder a un nivel anterior al del directorio raiz de la pagina (donde esta el index de la pagina). Creas alli un directorio donde metes el fichero, y ese fichero ya no es accesible via web (no existe una URL dominio.com/loquesea que devuelva ese fichero). Asi solo es accesible via FTP (si te entran via FTP nunca vas a poder evitar nada) o via sistema de ficheros. Por eso si estara accesible a PHP via las funciones de ficheros (fopen(), ...). Si lo anterior no es posible, mira si puedes usar tu servidor web para evitar el acceso web. En apache puedes especificar un .htacces, o meter el fichero en un directorio protegido con contraseña. Y en este caso concreto de conexion a la base de datos, si es MySQL, en http://es2.php.net/manual/en/ref.mysql.php ves que se pueden especificar unos datos por defecto, para poder llamar a mysql_connect() sin parametros. Dependiendo de tu alojamiento, podrias especificar esos valores en un htaccess. Saludos.
__________________ Josemi Aprendiz de mucho, maestro de poco. |