Es seguro que una web contenga la conex a la BD, unos checkeos y el resultado ??

Es seguro chekear los parámetros y mostrar el resultado en la misma página?

Mi caso es que tengo en la misma página:

- Los datos de conexión a la base de datos.

- Las comprobaciones de los campos (de otra página).

- Y el resultado de la consulta

Es seguro???



.

Sea que incluyas todo el codigo en un script o incluyas otro script siempre el contenido será accesible si alguien ya se metio a tu servidor, pues basta que lea donde apunta el include. La inclusión se realiza para mejorar y facilitar la comprension y manejo del programa, no tiene otro objetivo. Lo que te da seguridad es seguir los consejos de los desarrolladores de PHP y del servidor Web que utilices.

coño no, que me dices



nadie debe entrar a la bd que hago??

Bueno, eso es cierto en parte claudiovega porque puedes poner los includes en un directorio fuera del document_root y así no serían accesibles via web. El problema está en si tu servidor te da esa posibilidad.

A ver, el asunto lo entiendo asi:

1. El servidor Web (la maquina) debe tener su propia seguridad: estar al dia con los parches, abrir sólo los puertos necesarios, etc.

2. La configuración del servidor Web (el software ahora, ejemplo Apache) debe estar bien hecha y tambien actualizado con sus debidos parches.

3. La base de datos, si está en la misma maquina que el sitio, podrías dejarla sólo accesible desde la propia maquina, a no ser que necesites conectarte a ella remotamente.

4. Al programar en Php debes observar todas las "buenas practicas" de programación, register_globals=Off, prevenir los ataque de inyeccion de sql, etc.

bueno aparte de estos puntos q los hacer mi proveedor.

yo tengo que poner los datos de conexión en diferente hoja y directorio q la hoja donde hago las consultas y comprobaciones??


.

nadie me puede responder?? que me urge

asitudela

Con que pongas tus "config" bajo una extensión .php sobra .. donde lo pongas:

config.php

<?
//y ahí tus datos que serán variables ..
$usuari_db="blabla";
$pass_db="blabla";
// etc ...
?>

Da igual si los pones en un archivo aparte o los incrustras en todo script que requiera de Base de datos.

Si usas extensión .php . .si lo "pides" por HTTP .. no vas a ver nada .. nada, por qué ahí no envias salida al cliente.

Así es PHP ... y salvo que tu aplicacion haga cosas como por ejemplo permitir descargar un archivo y .. tu en tu programación no valides que archivos pueden ser accedidos como para que te hicieran un: descargar.php?archivo=config.php .. no va a pasar nada.

A todo esto suma la seguridad que debe implementar tu própio servidor .. sea que lo administres tu mismo o lo haga tu empresa de servicios de Hosting. Por qué .. por ejemplo en un servicio de hosting compartido .. si no está bien configurado temas de "open_base_dir" y algunas otras restricciones .. si yo desde MiServidor_Virtual1 .. te hago un fopen() a tu TUServidor_VirualX que ambos están bajo el mismo servidor .. podría "traerme" tu config.php y "verlo".

Un saludo,

Agrego algo más con el fin de ponerte un ejemplito práctico:
Por ejemplo el servicio de hosting gratuito de miarroba que se cae a cada rato. muchas veces me ha mostrado el código PHP sin interpretar. Si tuvieras los parámetros de conexión en el mismo archivo, los mostraría y todos verían tu contraseña. Si los tienes aparte simplemente mostraría la línea "include('config.php')"... desde ahí ya es una ventaja tenerlo aparte.
Claro, además de todo lo que ya se ha dicho.
saludos