Wie kann ich die MySQL Daten (IP, Port, Username, Password, Datenbank) professionell sichern?

D. h. ohne, dass man ziemlich leicht die MySQL Daten auslesen kann. Ich weiß nicht ob meine bisherige Methode sicher ist (wäre super, ob mir das einer sagen könnte):

In einem Ordner eine PHP Datei namens dbconfig, in welcher folgender Code steht (MySQL Daten zensiert):

<?php
$con = mysqli_connect("IP/localhost","USERNAME","PASSWORD") or die("Fehler bei Datenbankverbindung.");
mysqli_select_db($con,'DATABASE');
?>

4 Antworten

PeterKremsner

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Technik, Technologie

16.03.2019, 23:00

Du kannst per htaccess den Zugriff auf das Directory sperren indem sich die Nutzerdaten befinden.

Selbst wenn der Webserver den PHP Code ausgeben sollte kann er damit nicht den Inhalt der Datei mit den Passwörtern ausgeben, PHP selbst ist das egal und es kann alle Dateien in diesem Ordner sehen und einbinden.

David67481

Fragesteller

17.03.2019, 00:12

Super, danke!

apachy

17.03.2019, 08:55

In der Regel sichert man da nicht zusätzlich, die Anmeldedaten stehen meist fest in der PHP Datei aber man trennt den Source i.d.R. vom Einstiegspunkt, so dass der Benutzer keinen Zugriff hat auf den Source, wenn z.B. mal was an der Webserver Konfiguration nicht stimmen sollte und er den puren PHP Quellcode sehen sollte.

Das läuft dann meist über die Verzeichnisstruktur, sprich du hast z.B. einen Public Order, auf selber Ebene deine einzelnen Source oder Module Ordner, so dass der Einstiegspunkt vor deinen relevanten Files liegt. Der Webserver zeigt auf den Public Ordner und der Benutzer kann keine Dateien oberhalb dessen direkt öffnen, das kann nur über die Includes auf dem Server geschehen.

Anschließend lädt die Index.php z.B. dann eine Datei die vom Namen keine großen Implementationsdetails verrät, wie eine app.php oder bootstrap.php die sich oberhalb des Public Ordners befindet. Von dort aus geht es dann entsprechend weiter mit der Programmlogik.

Es kann dann also keiner auf die anderen PHP Dateien zugreifen, die z.B. die Anmeldedaten beinhalten. Wenn der PHP Interpreter aus irgendeinen Grund nicht feuert z.B. nach einem Webserver Update, wenn was schief gelaufen ist, dann sieht der Benutzer maximal, dass eine bootstrap.php eingebunden werden sollte. Er sieht keine Anmeldedaten und weiß noch nicht mal wo es welche Dateien geben könnte, welche Datenbank verwendet wird, welche bekannten Schwachstellen angreifbar wären usw.

Woher ich das weiß:Berufserfahrung – Softwareentwickler/Projektleiter seit 2012

Functional

16.03.2019, 22:34

Solang die SQL Daten fest im PHP Skript sind und nicht irgendwie extern aus einer normalen Textdatei o.Ä. geladen werden, sind sie sicher. Es ist unmöglich, den Inhalt einer PHP-Datei bzw. eines PHP Skripts von extern auszulesen (außer PHP macht auf deinem Server Probleme und gibt den Code auf dem Bildschirm aus, statt ihn zu parsen und auszuführen... Das wäre dann aber doch eher die Seltenheit).

Kurzum, sehr viel sicherer als so geht nicht.

Woher ich das weiß:Berufserfahrung

David67481

Fragesteller

16.03.2019, 22:38

Ich habe mal irgendwas mit .htaccess gehört? Kann man da noch irgendetwas machen?

Functional

16.03.2019, 23:38

@David67481

Über eine htaccess könntest du, wenn dein Webserver auf Apache läuft (die meisten Standard-Webhoster), den Zugriff auf bestimmte Unterordner z.B. sperren. Dadurch würde dann zusätzlich verhindert werden, dass man die Daten auslesen könnte, wenn PHP Probleme macht und den Code ausgibt statt ihn auszuführen.

David67481

Fragesteller

16.03.2019, 22:43

und wie würde man es machen, wenn man mehrere Webserver hat? Kommt dann auf jede die PHP Datei mit den MySQL Daten?

Functional

16.03.2019, 23:40

@David67481

Wenn du tatsächlich mehrere Webserver hast, definitiv auf jedem Server einzeln hochladen. Wenn du einen Server (Rootserver / VPS / wie auch immer) hast, auf welchem du selbst mehrere Webserver verwaltest, ließe sich die Datei auch ein einziges Mal anlegen und dann immer wieder mit einem relativen Pfad darauf verweisen. Da ich aber davon ausgehe, dass du tatsächlich mehrere verschiedene Webserver meinst, solltest du die Datei tatsächlich mehrfach hochladen. Theoretisch könntest du auf einem der Server ne API schreiben, welche die MySQL Daten ausgibt (ggf. mit einem Passwort / einer Signatur o.Ä.), aber da läufst dann eben Gefahr, dass jemand diese API findet, das Passwort / den Signaturalgorithmus knackt und sich dadurch Zugriff auf die SQL Daten holt. Kurzum - sein lassen.

xGlumi

16.03.2019, 23:37

Einfach in deinen PHP-Code fest verankern, dann kann das eh kein Client einsehen.

Wenn du dich vor z.B. jemanden schützen möchtest, der bereits Zugriff auf deine Dateien (auch .php) hat, so könntest du diese mit z.B. ionCube verschlüsseln, damit er beim öffnen der "dbconfig.php" nur verschüsselte Daten sieht.

Auch ein ionCube ist nicht perfekt, und kann decoded werden, aber das ist hier glaube ich ertmal egal, bei der Fragestellung :D

P.S. Wenn du mehrere WebServer hast, dann musst du die .php-File auf jeden Webserver packen, und entsprechend editieren.

MFG xGlumi

Woher ich das weiß:eigene Erfahrung

Ähnliche Fragen

Mysql mit PHP verknüpfen?

Hallo,

Ich habe einen Mysql Localhost Server, den möchte ich mit PHP verknüpfen.

<?php
$servername = "localhost";
$username = "root";
$password = "123456789";
$database = "cinpc";
$con = mysqli_connect($servername,$username,$password);
?>

Hier wird mir dieser Fehler ausgegeben:

Fatal error: Uncaught Error: Call to undefined function mysqli_connect() in C:\...\Untitled-1.php:8
Stack trace:
#0 {main}
  thrown in C:\...\Untitled-1.php on line 8

[Done] exited with code=255 in 0.27 seconds

Versucht habe ich:

php -m aufgerufen und nach einem Modul mit MySQL gesucht -> GAB ES NICHT
In dem Verzeichnis von PHP nach der php.ini Datei gesucht -> GAB ES AUCH NICHT.
Ich habe dann selber eine in dem Verzeichnis ext erstellt -> extension=mysqli
Nun gab es auch das Modul mysqlnd

Es geht immer noch nicht. Soll ich php noch mal neu installieren.

Viele Grüße

Jannik

...zur Frage

MariaDB,PHP: Kann nicht von anderem Rechner auf Datenbank zugreifen?

Hi, hab bei mir auf einem RBP ne MariaDB MYSQL Datenbank angelegt, (incl. phpmyadmin).

Habe in diesem Bereich noch kaum Erfahrung und ich habe das Problem dass ich von dem Webserver (steht im selben LAN) nicht auf die DB mit PHP verbinden kann.

Also wenn ich verbinden möchte von dem Webserver kommt Folgende Fehlermeldung:

SQLSTATE[HY000] [2002] Connection refused

Wenn ich das direkt auf dem DB-Server mit localhost versuche geht es.

Falls es noch hilfreich ist hier das Script mit dem ich verbinde:

<?php
$con=mysqli_connect("x.x.x.111","username","password","dbname");
if (mysqli_connect_errno())
{
echo "Failed to connect to MariaDB: " . mysqli_connect_error();
} else {
echo "JO ES GEHT";
}
 ?>

Und nochmal der Problem konkret: wenn ich das Script auf einem anderen Server im selben Neztwerk ausführe komme ich nicht drauf, mit localhost geht es.

...zur Frage

MySql, PhP Login/Register seite fehler: Warning: mysqli_connect(): (HY000/2002): No such file or directory?

Guten Abend.

Ich habe folgendes Problem ich bekomme im Internet immer diese Fehlermeldung angezeigt: Warning: mysqli_connect(): (HY000/2002): No such file or directory in /X/X/X/X/X/config.php on line 10 (x ist natürlich der Pfad).

Hier mein Source Code:

<?php
/* Database credentials. Assuming you are running MySQL
server with default setting (user 'root' with no password) / define('DB_SERVER', '127.0.0.1'); define('DB_USERNAME', 'XXX'); define('DB_PASSWORD', 'XXX'); define('DB_NAME', 'users');   / Attempt to connect to MySQL database */
$conn = mysqli_connect($DBHOST, $DBUSER, $DBPASS, $DBNAME);
 
// Check connection
if($link === false){
    die("ERROR: Could not connect. " . mysqli_connect_error());
}
?>

Im Internet habe ich jetzt 60 min verbracht um diesen Fehler zu behebn, finde aber keine Lösung die hilft.

Danke

...zur Frage

Mit PHP und MySQL auf "entfernte" Datenbank zugreifen?

Hi, ich arbeite mich gerade in das Thema MySQL ein und habe eine Frage bezüglich mysqli_connect. Wenn man im PHP Skript auf eine Datenbank zugreifen will, kann man das ja ca.wie folgt:

mysqli_connect(localhost, benutzer, passwort, datenbankname);

Ist es möglich, dass ich mich auch auf Datenbanken anderer "Webserver" verbinde, nur als Beispiel, Apple.

mysqli_connect(apple.com, benutzer, passwort, datenbankname);

Vielleicht ist das eine dumme Frage, aber ich fange mit dem Thema gerade erst an und da habe ich mich gefragt, ob das möglich wäre :).

Danke für jede Antwort!

...zur Frage

Uncaught mysqli_sql_exception? Was muss ich ändern?

Hallo, ich habe eine Website erstellt. Im Localhost-Modus lief alles tadellos. Nun beim veröffentlichen funktioniert die Datenbankanbindung nicht mehr. Woran hat es gelegen fragt man sich?

Ich habe diese Funktion in PHP geschrieben:

function connectToDatabase() {
    $link = mysqli_connect("DB_Host", "DB_Nutzer", "DB_Passwort!", "DB_name");
    if (!$link) {
        die("Datenbankverbindung gescheitert");
    }
    return $link;
}

Folgende Fehlermeldung ergibt sich:

PHP Fatal error:  Uncaught mysqli_sql_exception: Access denied for user '???'@'???' (using password: YES) in

...zur Frage

Fehler beim erstellen von Database?

Hi, ich hoste meine website über inifinityfree und ich kann keine Database erstellen.

Hier mein Code:

$server = "sql307...";
    $username = "epiz_3...";
    $password = "passwort...";
    $dbname = "epiz_313...";


    $conn = mysqli_connect($server, $username, $password, $dbname);


    if (!$conn) {
        die("Connection failed: " . mysqli_connect_error());
      }
      
      // Create database
      $sql = "CREATE DATABASE myDB";
      if (mysqli_query($conn, $sql)) {
        echo "Database created successfully";
      } else {
        echo "Error creating database: " . mysqli_error($conn);
      }
      
      mysqli_close($conn);

Diese php datei habe ich dann in meine index datei eingebunden und als fehlermeldung bekomme ich folgendes:

Error creating database: Access denied for user 'epiz_31387706'@'192.168.%' to database 'myDB

Leider habe ich mein fehler nicht gefunden vielleich kann einer von euch helfen.

...zur Frage

Verbindung zur Datenbank checken - PHP?

Hi, ich hab folgende Funktion in einer Klasse dbConenction:

private mixed $connection;

public function __construct()
{
    return $this->connect();
}

private function connect()
{
    try {
        $host = "localhost";
        $username = "USER_NAME";
        $pwd = "PWD";
        $database = "DB_NAME";
        $this->connection = new mysqli($host, $username, $pwd, $database);

        if ($this->connection->connect_error) {
            throw new Exception("Connection to database failed. | " . $this->connection->connect_error);
        }
        return $this->connection;
    } catch (Exception $exception) {
        $this->connection = null;
        databaseErrorHandling($exception);
        return null;
    }
}

Die Verbindung zur Datenbank funktioniert auch, ich kann Queries ausführen. Doch mein Problem, wenn ich zum Beispiel den Username für die Datenbank ändere, soll eigentlich durch

if ($this->connection->connect_error)

eine Exception geworfen werden, weil die Verbindung ja nicht aufgebaut werden kann, da der Username falsch ist. Das Gleiche funktioniert auch nicht, wenn ich zum Beispiel das Passwort ändere. Hab in den Docs von PHP nachgelesen und dort haben die das genauso gemacht...

$servername = "localhost";
$username = "username";
$password = "password";

// Create connection
$conn = new mysqli($servername, $username, $password);

// Check connection
if ($conn->connect_error) {
  die("Connection failed: " . $conn->connect_error);
}

Jemand eine Idee, warum das nicht funktioniert, so wie es funktionieren sollte :D, oder Verbesserungsvorschläge?

Danke für jede Hilfe!!!

...zur Frage

SQL Code richtig?

Hier ist PHP Code, den ich geschrieben hab:

$connection = new mysqli("localhost", "...", "...", "...");
$username = $_POST['username'];
$email = $_POST['email'];
$password = $_POST['password'];
$time = time();
$sql = "INSERT INTO User (Name, Email, Password, Created) VALUES ($username, $email, $password, $time)";
$connection->query($sql);
$connection->close();

Aber der sagt dann dass im SQL Code

$sql = "INSERT INTO User (Name, Email, Password, Created) VALUES ($username, $email, $password, $time)";

Ein Syntax Fehler ist.

Wo ist der Fehler?

...zur Frage

PHP MySQL Datenbank Verbindungsfehler?

syntax error, unexpected variable "$res" line 12

<?php
require_once ('connect.php'); 

   $con = mysqli_connect("127.0.0.1", "root", "jbujbujbu");
   mysqli_select_db($con, "test");
   if(isset($_POST["gesendet"]))
   $sql = "SELECT * FROM konzerte"
      . "'Datum'" . $_POST['date']
        . " 'Land = '" . $_POST['land']
      . " 'Stadt = '" . $_POST['stadt']

   $res = mysqli_query($con, $sql)
   or die(mysqli_error($con));
   $num = mysqli_num_rows($res);
   if($num > 0) {echo "<p>Ergebnis:<br></p>";
    echo "<p>";
echo $num;
echo "</p>";
}
else         echo "<p>Keine Ergebnisse<br></p>";

   mysqli_close($con);
?>

...zur Frage

Warum kann dieser php code keine Verbindung zur Datenbank herstellen?

Ich sitze hier und verzweifle förmlich daran, warum sich die eingegebenen Daten aus:

<!DOCTYPE html>
<html>
  <head>
    <h1>Der Weg ins Paradies</h1>
    <link rel="stylesheet" href="GL.css">
  </head>
    <p>Die Welt dadraußen ist trist, doch <br> sein kein Schaf, sei ein Wolf</p>
    <form method="post" action="Registrierungsseite.php">
      <p><label>Name:<br><input type="text" name="Name"></label></p>
      <p><label>E-Mail:<br><input type="text" name="Mail"></label></p>
      <p><label>Passwort:<br><input type="password" name="Passwort"></label></p>
      <p><label>IBAN:<br><input type="text" name="IBAN"></label></p>
      <p><input type="submit" value="Registrieren"></p>
    </form>
  </body>
</html>

nicht in der MySQL-Datenbank wiederfinden.

Meine PHP-Datei ist diese hier:

<?php
  // Get the form data
  $name = $_POST['name'];
  $email = $_POST['email'];
  $password = $_POST['password'];
  $iban = $_POST['iban'];

  // Connect to the MySQL database
  $db = mysqli_connect("localhost", "root", "", "paradies");

  // Check if the connection was successful
  if (mysqli_connect_errno()) {
    // If the connection failed, display an error message and exit
    echo "Failed to connect to MySQL: " . mysqli_connect_error();
    exit;
  }

  // Insert the form data into the MySQL database
  $query = "INSERT INTO paradies (name, email, password,iban) VALUES ('$name', '$email', '$password', '$iban')";

  if (mysqli_query($db, $query)) {
    // If the insert was successful, redirect the user to the login page
    header("Location: GL.php");
    exit;
  }
  else {
    // If the insert failed, display an error message
    echo "Error: " . $query . "<br>" . mysqli_error($db);
  }

  // Close the MySQL connection
  mysqli_close($db);
?>

Ich sehe den Fehler einfach nicht, da sobald man die Daten absendet, es zwar zur PHP-Datei weitergeleitet wird, dann jedoch lediglich der Code zu sehen ist. Die Datenbank hat dann natürlich auch keinen Eintrag.

Danke im Voraus.

...zur Frage

Wo finde ich die Database, Passwort usw. bei Xampp (MySQL)?

Hallo,

ich bin dabei ein Spigot BanPlugin mit einer MySQL Datenbank zu programmieren.

Nur, wo finde ich die Daten (Username, Password, Database, Host, Port) bei Xampp die ich in meine Dateien vom Plugin eintragen muss?

Die Dateien sind angehängt.

LG Daniel

MySQL Klasse: https://pastebin.com/Ec4879PR

Main Klasse: https://pastebin.com/KikRcjR3

FileManager: https://pastebin.com/sVRDMwBK

...zur Frage

SQL Injektion und Cross Site Scripting verhindern?

Wie würde ich das hier in sicher machen ?

Es ist der Php Code von einem Unsicheren Chat aber es geht mir um XSS oder SQL Injectons, nicht um Verschlüsselungen etc.

<?php
    $host = 'localhost';
    $user = 'root';
    $pw = '';
    $database = 'Chat';
$db = mysqli_connect($host, $user, $pw, $database);

if ($db) {
} else {
    exit("Error" . mysqli_connect_error());
}
if (isset($_GET['message']) && $_GET["message"] != "") {
    $username = "Alice";
    $message = $_GET['message'];
    $sql_insert = 'INSERT INTO messages SET
                  user = "' . $username . '",
                  message = "' . $message . '"';
    $sql = "SELECT * FROM messages";
    $res =  $db->query($sql);
    $insert = mysqli_query($db, $sql_insert);
    echo "Sucessfull";
}
else {
    echo '<script> alert("Bitte Trage etwas ein")';
}

...zur Frage

Nginx, Php, Mysql Connection Fehler?

Hallo, unzwar wenn ich auf meine index.php seite gehe kommt "Diese Seite funktioniert nicht" in var/log/nginx/error.log steht:

https://hastebin.com/share/ibaxaxumoj.bash

und meine connection.php sieht so aus für die datenbank:

 <?php
$connection = mysqli_connect("localhost", "root", "password", "developers") or die("Connection Failed");

...zur Frage

PHP/MySql wie überprüfen ob Nutzername bereits vergeben?

Wie würde ich das hier am besten mit einer If-Abfrage überprüfen bevor es etwas in die SQL Datenbank schreibt ?

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestDatenbank';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen