Seguridad al conectar a bbdd MySQL mediante PHP

Muy buenas. Primero comentarles que apenas tengo idea de MySQL y demás, y como tal no sabía si debía publicar esto en el foro de PHP o en este.

Veréis. Mi pregunta es la siguiente. Al intentar conectar a una bbdd MySQL mediante un archivo PHP, escribimos:

$conn = mysql_connect($servidor,$usuario,$password);

Pues, ¿cómo hacer para que esas variables no las pueda leer cualquiera? Es decir, ¿cómo oculto esas variables? ¿Hay que encriptarlas o algo así? Porque si las escribo tal cual en el PHP, cualquiera puede entrar en la bbdd y cambiar lo que quiera...

Gracias por adelantado.

que tipo de aplicacion deseas montar? un sitio web con PHP y mysql?

si es asi, no tienes por que preocuparte. nadie puede entrar en el servidor y ver tus archivos PHP, a no ser que sea el dueño del servidor, y en ese caso es de confianza.

¿Cómo que no? Si en mi archivo *.htm alguien pincha en "Ver código fuente", verá la llamada al archivo *.php. Si se ve el código fuente del PHP, ya la hemos cagado, porque ahí viene el nombre de la bbdd, la contraseña, etc.

Lo que quiero hacer es una web normal y corriente, pero que gestione bbdd MySQL mediante PHP.

Gracias por contestar, pero necesito otra respuesta a ser posible.

¿y qué genera PHP???; HTML!!!... Solo podrá ser visto las salidas que tienes al navegador...

Este tema iba en el foro de PHP . En las FAQ tienes buenos tutoriales...

No te quedes con la duda... crea un archivo .php cualquiera y colocale: ejecutalo... ve el código fuente de tu navegador... ¿qué tienes?; nada!... no hay ningún echo(), print() y demás funciones que indiquen que algo ha de ser entregado...

Igual busca por "código fuente" en el foro de PHP que algo hayarás. Suerte!

Bien, pero vamos a ver. Con cualquier programa tipo "Download Accelerator" incluyes la dirección donde se encuentra ese PHP (por ejemplo: http://www.cualquierpagina.com/miarchivo.php) y te bajas el PHP tranquilamente, y esa dirección la tienes dentro del archivo .htm. Con lo cual, sabiendo donde está ese PHP (en qué dirección) puedes hacerte con él perfectamente, y teniendo el archivo tienes las claves.

Tal vez ahora me haya explicado algo mejor. Entonces, si cualquier usuario va a tener las claves fácilmente, ¿no hay una manera segura de no ponerlas en el archivo PHP? O ocultarlas, o encriptarlas, eso ya no lo sé....

Gracias por contestar.

por fin! ¿ó es.php ó .html?.

Insisto en un tutorial de PHP...

PHP es un lenguaje interpretado, trabaja del LADO DEL SERVIDOR, solo hace entrega de código al cliente; el "cliente" es quien hace la petición del archivo... usualmente el navegador.

¿Lo haz "visto" (probado, comprobado, logrado or cualquier sinónimo) acaso?? ...

Reitero mi mensaje anterior. Saaludos!

También es falsísímo si hablamos de un archivo de conexión... no tiene por qué ser llamado desde html...

Nos estamos viendo! .

Bueno, por lo que veo no me explico nada bien, ejejje Pero vamos, claro que lo he probado. ¿Es que acaso no se puede incluir en html un link a un PHP para conectar a una bbdd? Claro que sí. Entonces, en ese PHP, ¿puedo ocultar o no las claves? Vamos, que no estén escritas directamente. Creo que la pregunta se entendía perfectamente...

Y si existe otra forma de conectar que no sea mediante html podías decirlo, jam1138, porque si te has dado cuenta no tengo mucha idea, así que en vez de dejarme igual de liado o más podías echarme una mano...

Si estoy aquí preguntando es porque necesito una respuesta. También puedo empollarme manuales de autentificación y php, mysql, etc (y es lo que debo hacer), pero ahora mismo necesito una respuesta urgente.

Vamos, que necesito una solución. ¿Saben alguna forma segura de hacerlo o no? Gracias por contestar.

... siento ser escéptico; necesito ver para creer.

http://jam1138.webcindario.com/contenido.php ¿Cuál es el contenido PHP de ese fichero??; tomate tu tiempo, por favor desmienteme , te lo agradecería. Ojo que el contenido es otro fuera de la publicidad... de hecho, es solo un mensaje .

Solo si esta programado para tener ese comportamiento (en mi vida lo he visto).

... estamos de acuerdo que tiene que haber una fuente de datos???.... por lo que planteas, también necesitarías "no escribir" (...) esos datos... por muy encriptados que estén. Tu PHP los tendría que desencriptar para poder usar la función... pero si dices se puede acceder "tranquilamente" al código... ¿cuál es el caso?.

Muchas (insisto: si se esta programado para eso): HTTP, SSH, HTTPS, Telnet...

Respuesta a qué?; ¿se puede acceder a código PHP --fuera del servidor---? NO.

Disculpa si también no mis "respuestas" no son las mejores.. pero acá entre nos estoy de salida.

jam1138, tenías razón. Yo al menos no he podido descubrir qué hay dentro de ese PHP. Muchas gracias por tu insistencia.

Hola,

jam1138 te ha dado muy buenas respuestas. Yo sólo quería agregar que todo depende también de los permisos que existan sobre el archivo en el servidor. Si se trata de un servidor Linux (*nix) puedes buscar información adicional mediante cualquier buscador con, por ejemplo, el término "CHMOD".

Saludos,

Muchas gracias por tu respuesta, Apolo.

Con mucho gusto, no hay problema.

Avísanos si tienes alguna inquietud adicional.

Saludos,