محافظت از پسورد دیتابیس

arashdanger · May 16, 2005

سلام
تازگی به یه مشکل برخوردم. اونم محافظت از پسورد دیتابیس تو برنامه هایی که تحت وب نوشته میشن.
من معمولا پسورد دیتابیس رو توی یه فایل جدا ذخیره میکنم و فقط فایل .htaccess رو برای حفاظت از فایلم تنظیم میکنم. ولی تازگی یک از دوستانم با اینکه این کار رو کرده بود پسوردش هک شد و وقتی که پسورد رو عوض کرد و اسم فایل رو هم عوض کرد و... بازم هک شد(البته از طرف یکی از گروه های مشهور ایرانی) log های باقیمانده هم نشون میداد که اونها مستقیما فایلی که پسورد دیتابیس توش بوده رو باز کردن!!!
حالا میخوام بدونم که چه روشهایی برای محافظت از چنین فایلهایی وجود داره؟

golden · May 16, 2005

خوب شما از چه زبان برنامه نویسی استفاده میکنی؟
اگه سرور شما مطمئن باشه این امکان وجود نخواهد داشت که مجتویات فایل خونده بشه و تنها خروجی اون قابل مشاهده است.

arashdanger · May 17, 2005

ممنون از توجهتون
من از php استفاده میکنم و به سرورم هم اطمینان نسبتا زیادی دارم ولی راههایی وجود دارن که حتی امنیت بالای سرور هم نمیتونه جلوی حملات رو بگیره. مثلا چند روز قبل یه برنامه به نامAWSTATS DEFACER توی سایت آشیانه دیدم که برای بدست آوردن آمار سایتهایی که رو سرورشون cpanel دارن هستش.(این برنامه از حفره های موجود در برنامه awstats استفده میکنه) همونطور که میدونین awstats آمار بازدید تک تک فایلها رو با آدرس دقیقشون مینویسه و هکر میتونه از این راه فایلهای روی سرور رو ببینه و خیلی راحت از اسم فایل حدس بزنه که مثلا پسورد دیتابیس تو کدوم فایل و تو چه آدرسی هست و تمام سعی خودش رو روی بدست آ وردن محتوی اون فایل متمرکز کنه!!!

miladmovie · May 19, 2005

والا به نظر من وقتی که اون ها بتوند فایل رو مستقیم باز کنند از دست من و تو کد نویس دیگه کاری برنمیاد !

یک روش هست که می شه می تونی کدهای Php رو رمز گذاری کنی ولی وقتی می گی که می تونند فایل رو باز کنند خب می تونند از راه های دیگه وارد بشند !

دقیقا بگو منظورت از باز کردن مستقیم فایل چی بوده ؟ !

arashdanger · May 19, 2005

والا منم خودم نمیدونم که چطور همچین چیزی ممکنه ولی اینو میدونم که کسی به غیر از وب سرور خودم به فایل حاوی پسورد دیتابیس دسترسی پیدا کرده چون ip اون با مال سرور خودم فرق داشت

arashdanger · May 19, 2005

حالا میشه توضیح بدین که چطوری میشه کدهای php رو رمز گذاری کرد؟

miladmovie · May 20, 2005

با این برنامه :
http://zend.com/store/products/zend-encoder.php

oxygenws · May 21, 2005

احتمالا سیستم عامل سرور دوستت ویندوز نیست؟؟؟ :d

arashdanger · May 21, 2005

والا ویندوز نیست لینوکس ولی نه از اون خوباش!!! یه لینوکس Fedora که فکر نکنم خیلی هم زود زود update بشه

oxygenws · May 21, 2005

احتمالا امکان استفاده از htaccess رو اون سرور غیر فعاله.
راحت ترین راه برای مخفی کردن چنین اطلاعاتی اینه که توسعه اون فایل رو چیزی مثل PHP بذارید و اطلاعات به صورت کد php ذخیره بشه، نه یک فایل txt یا inc یا ...

و بعد از این انکود کردن اون فایل توسط مثلا zend encoder

taher007 · May 27, 2005

oxygenws گفت:
احتمالا امکان استفاده از htaccess رو اون سرور غیر فعاله.
راحت ترین راه برای مخفی کردن چنین اطلاعاتی اینه که توسعه اون فایل رو چیزی مثل PHP بذارید و اطلاعات به صورت کد php ذخیره بشه، نه یک فایل txt یا inc یا ...

و بعد از این انکود کردن اون فایل توسط مثلا zend encoder

این زند خیلی گرونه... راه دیگه ای برای انکود نیست؟(انکودی که تو هر سرور معمولی خونده بشه...)

oxygenws · May 28, 2005

عموما نه.
متاسفانه زند اپتیمایزر روی اکثر سرورها نصبه.
در ضمن، این کار زیاد مهم نیست، به عنوان مثال می تونید فایل رو تو یک شاخه بالاتر (شاخه بالای www) بذارید، اینطوری --کمی-- امنیت بیشتر میشه.