et sikkerhedsspørgsmål om mysql_connect

Tags:    php

Jeg har lavet en database med en enkelt tabel i mysql (en pladesamling). Jeg har så tænkt mig at lave en række html-sider, hvor der på forhånd med php er lavet forskellige forespørgsler (fx LP, CD, singler, eller forsk. genrer). Alle besøgende skal kunne navigere frit rundt uden at være brugere eller logget ind. Jeg har netop testet konceptet - alt fungerer sådan set, men jeg er i tvivl om sikkerheden.

På hver php side har jeg for at opnå tilslutning til databasen måttet skrive mit brugernavn og password i sætningen
mysql_connect(localhost,username,password)

Jeg er totalt grøn med hensyn til PHP, men intuitivt forekommer det forkert, at brugernavn og password på den måde står i selve filerne. Jeg ved godt, at besøgende ikke kan se brugernavn og password i deres browser - heller ikke hvis de vælger vis kildekode (page source) - men jeg føler mig stadig ikke tryg. Har jeg grund til at være utryg? Eller er alt som det skal være?



2 svar postet i denne tråd vises herunder
0 indlæg har modtaget i alt 0 karma
Sorter efter stemmer Sorter efter dato
Alt er som det skal være. Du kan ikke sikre dig mere. Det vil sige, hvis du vil være paranoid, så smider du en config.php i en mappe som ikke kan tilgås eller ses fra nettet. I config.php skriver du dine databaseoplysninger, og så kan du inkludere dem fra dit script. Du kan så lave tjeks på alle downloads du måtte sende, for at sørge for at disse ikke sender config.php filen af en eller anden grund.

Men det er overkill, det er sikkert som det allerede er.



Tak. SÅ kan jeg sove trygt :D

Du får de lovede points, når jeg har fundet ud af, hvordan det foregår ;)



t