Sql Passwörter ausserhalb vom Web Root speichern?

Wie mache ich das ? Ich hab gelesen ich muss irgendwie eine config file erstellen und die nicht öffentlich zugänglich machen.

backend nutze ich php und webhost ist all inkl.

Soll nicht sicher sein die daten so im quellcode zu lassen falls ein hacker meinen server lahm legt oder so

$host = localhost;

$Dbname = ...;

...

Usw.

2 Antworten

TechPech1984

Nutzer, der sehr aktiv auf gutefrage ist

im Thema programmieren

22.08.2022, 01:26

ganz einfach , in eine datei

z.b. dbconfig.php

die variablen schreiben

die packst du ausserhalb des dokumenten root

und dann include('pfadzurdatei') wichtig ist, der webuser unter dem php läuft muss aber lese rechte haben

beispiel

/www/user234/htdocs/index.php
/www/user234/cgi/dbconfig.php

in index.php

include('../cgi/config.php');

mit den .. gehst du ein verzeichnis nach oben , aus sicht der index.php

so wir die nur geladen wenn der server auch php korrekt verarbeitet . sollte einer den FTP häcken, so müsstest du das sogar ausserhalb des FTP zugriffs packen , dann halt mit SSH die datei irgendwoanders hin packen und den webserver user und group leserechte auf den ordner/datei geben .

JestJs

Fragesteller

22.08.2022, 01:31

Achso danke so hatte ich es mir gedacht, eine andere php Datei erstellen und dann include.

Könnte ja irgendwss mit .config oder so sein. Gibt viele komische dateiformate

julihan41

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Linux, IT

22.08.2022, 08:29

Soll nicht sicher sein die daten so im quellcode zu lassen falls ein hacker meinen server lahm legt oder so

Üblicherweise hasht man die ja. Zumindest kenne ich das so von Linux...

Welche SQL-Datenbank verwendest du denn?

JestJs

Fragesteller

22.08.2022, 12:20

Welche SQL-Datenbank verwendest du denn?

ganz normales mysql

halt mit phpmyadmin.

julihan41

22.08.2022, 12:22

@JestJs

Da speichert dich MySQL die Nutzer samt Passwörter bzw die stehen im System gespeichert (/etc/shadow und so). Oder habe ich das falsch in Erinnerung? 🤔

Wie würde ich das hier am besten mit einer If-Abfrage überprüfen bevor es etwas in die SQL Datenbank schreibt ?

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestDatenbank';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

...zur Frage

SQL Injektion und Cross Site Scripting verhindern?

Wie würde ich das hier in sicher machen ?

Es ist der Php Code von einem Unsicheren Chat aber es geht mir um XSS oder SQL Injectons, nicht um Verschlüsselungen etc.

<?php
    $host = 'localhost';
    $user = 'root';
    $pw = '';
    $database = 'Chat';
$db = mysqli_connect($host, $user, $pw, $database);

if ($db) {
} else {
    exit("Error" . mysqli_connect_error());
}
if (isset($_GET['message']) && $_GET["message"] != "") {
    $username = "Alice";
    $message = $_GET['message'];
    $sql_insert = 'INSERT INTO messages SET
                  user = "' . $username . '",
                  message = "' . $message . '"';
    $sql = "SELECT * FROM messages";
    $res =  $db->query($sql);
    $insert = mysqli_query($db, $sql_insert);
    echo "Sucessfull";
}
else {
    echo '<script> alert("Bitte Trage etwas ein")';
}

...zur Frage

Wie kann ich mittels localhost auf eine Strato-Datenbank zugreifen?

Hi,

ich habe ein Problem, was mich ungefähr den gesamten Vormittag gekostet mich und immer noch ratlos zurückgelassen hat. Und zwar versuche ich, mit jemandem etwas zu programmieren. Nun hat dieser jemand ein Strato-Hosting-Paket und auf diesem Server liegt eine Datenbank. Wie kann ich nun mittels eines XAMPP-Localhosts auf diese Datenbank zugreifen, um zum Beispiel Daten zu speichern. Die Strato-FAQ helfen leider alle nicht wirklich weiter.

<?php
$connetction = new PDO("mysql:dbname=$dbName;host=rdbms.strato.de", $dbUser, $dbPass);
?>

Nun sagt er immer, vom Server komme keine Antwort. Muss ich erst irgendwo bei Strato irgendwelche Häkchen setzten? Funktioniert das gar nicht?

Grüße

...zur Frage

Java-Projekt: Wie lasse ich den Inhalt der Datenbank in einer Tabelle anzeigen?

Ich habe jetzt über mehrere Wege versucht, den Inhalt der Datenbank in der Tabelle anzeigen zu lassen und bin immer wieder auf mehr Probleme gestoßen. Kann mir jemand helfen?

Ich weiß nicht, wie ich das angehen soll und ob ich den Anfang überhaupt richtig habe.

Ich kopiere den Code aus der Datenbankklasse mal rein.

package kontaktVerwaltung;

import java.awt.Checkbox;
import java.awt.GraphicsConfiguration;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.ArrayList;
import javax.swing.JOptionPane;
import com.mysql.cj.protocol.Resultset;

class Db {
  private kontaktVerwaltungClass cw;

  public Db(kontaktVerwaltungClass cw) {
    this.cw = cw;
  }

  public void speichern() {
    String url = "jdbc:mysql://localhost:3306/verwaltung";
    String user = "root";
    String pass = "";

    try {
      Connection con = DriverManager.getConnection(url, user, pass);
      String sql = "insert into contact(name, adress, postcode, website) values(?,?,?,?)";
      PreparedStatement pstmt = con.prepareStatement(sql);
      pstmt.setString(1, cw.tfName.getText());
      pstmt.setString(2, cw.tfAdress.getText());
      pstmt.setString(3, cw.tfPostcode.getText());
      pstmt.setString(4, cw.tfWebsite.getText());
      pstmt.execute();

      con.close();
    }
    catch (SQLException e) {
      JOptionPane.showMessageDialog(null, e.getMessage());
    }
  }

  public void show() {
    String url = "jdbc:mysql://localhost:3306/verwaltung";
    String user = "root";
    String pass = "";

    try {
      Connection con = DriverManager.getConnection(url, user, pass);
      String query1 = "SELECT * FROM contact";
      Statement st = con.createStatement();
      ResultSet rs = st.executeQuery(query1);
      kontaktVerwaltungClass kw;

      while(((ResultSet) rs).next()) {
        kw = new kontaktVerwaltungClass();
        kw.tbShow.add(rs);
      }

      con.close();
    }
    catch (SQLException e) {
      JOptionPane.showMessageDialog(null, e.getMessage());
    }
  }
}

...zur Frage

(HY000/1130): Host 'localhost' is not allowed to connect to this MariaDB server wie beheben?

Moin, ich kann mich nicht mehr in meine Datenbank einloggen. Bekomme immer Error 1130. Ich muss anscheinend etwas in der Config-Datei ändern, habe aber keine Ahnung was. Anbei 2 Screenshots.

...zur Frage

Warum funktioniert der Wordpress installation gar nicht?

Hallo.

Also ich versuche gerade Wordpress zu installieren. Ich habe erstmal im Datenbank wordpresser erstellt:

Dann habe ich bei Rechte nach geschaut:

Und bei Wordpress habe ich das hier eingegeben:

Doch wenn ich auf Senden klicke, bekomme ich diese Fehlermeldung:

Und das ist egal was ich versuche.

Und nein bei Root ist da kein Passwort hergestellt. Ich habe bei Datenbank-Host auch nur "localhost" eingegeben ohne 3306, geht auch nicht.

Weiß jemand noch eine Lösung warum das nicht geht? Oder ist bei mir etwas verbuggt? Denn als Webserver nutze ich MAMP

...zur Frage

C# auf SQL Datenbank zugreifen?

Hallo liebe Community,

ich möchte mein Programm mit einer SQL Datenbank die mit phpMyAdmin erstellt wurde verbinden.

den Connection-String habe ich wie folgt:

string myConnectionString = "SERVER=localhost;" +

"DATABASE=dbname;" +

"UID=user;" +

"PASSWORD=pw;";

wenn ich dann ein Open auf die Connection machen möchte bekomme ich folgenden Fehler:

SocketException: Es konnte keine Verbindung hergestellt werden, da der Zielcomputer die Verbindung verweigerte 127.0.0.1:3306

Woran kann das liegen was mache ich Falsch oder was habe ich vergessen?

Währe sehr dankbar, dass mich jemand was das angeht belehren kann. :)

...zur Frage

Could Not Bind To Host. Was kann ich tun (Bungeecord)?

Hey, ich will auf meinem PC einen Bungeecord Server machen. Ich habe 3 Server fertig installiert (Proxy, Lobby und Game) auf Localhost (also 0.0.0.0:) laufen. WEnn ich in der Bungeecord Config meine Ip (also 87.123.206.115) eingebe sagt er mir in der Konsole: Could not bind to host /87.123.206.115:25565 Was kann ich machen dass der auf der oder irgendeiner anderen (von ausen ereichbaren also nicht Localhost) IP läuft? Oder geht das nur über externe Server-Anbieter?

...zur Frage

Call to a member function fetch() on boolean on line 88?

Kann mir jemand sagen was ich falsch gemacht habe?

$pdo = new PDO('mysql:host=localhost;dbname=login', 'root', '');

$sql = 'SELECT datei FROM login_username WHERE id .$_SESSION["user"]["id"].';
$user = $pdo->query($sql)->fetch();
echo "Download: ".$user['datei']."<br /><br />";
mysql_close($link)

...zur Frage

Suchfunktion mit PHP Version 7.1.12 und MySQL?

Hallo,

ich habe mir letztens auf YouTube ein Video angeschaut, wie man mit Hilfe von PHP eine MySQL-Datenbank durchsucht. Ich habe es selber ausprobiert, doch musste leider feststellen, dass der Code nicht für meine PHP-Version (7.1.12) geeignet ist.

Also habe ich versucht ihn umzuschreiben. Das hat aber leider nicht geklappt.

<html>
  <head>
    <title>Suche</title>
  </head>
  <body>
    <form action="" method="get">
      <input type="text" name="suchfeld"/>
      <input type="submit" name="suche_enter" value="suchen"/>
    </form>
    <hr /><br />
    <?php
      if (isset($_GET['suche_enter'])) {
        $host = "localhost";
        $user = "root";
        $pass = "";
        $db = "test_db";
        $conn = new mysqli($host, $user, $pass, $db);

        if ($conn->connect_errno) {
          die("Verbindung fehlgeschlagen: " . $mysqli->connect_error);
        }

        $suchbegriff = trim(htmlentities(stripslashes(mysqli_real_escape_string($_GET['suchfeld']))));
        $sql = "SELECT headline, text FROM article WHERE
          headline LIKE '%$suchbegriff%' OR
          image LIKE '%$suchbegriff%' OR
          overtext LIKE '%$suchbegriff%' OR
          text LIKE '%$suchbegriff%' OR
          gender1 LIKE '%$suchbegriff%' OR
          gender2 LIKE '%$suchbegriff%'
          ORDER BY headline, gender1, overtext, text, gender2, image";
        $query = mysqli_query($sql);

        echo "<ul>";

        WHILE ($row = mysqli_fetch_assoc($query)) {
          $headline = $row['headline'];
          $overtext = $row['overtext'];
          $text = $row['text'];

          echo "<li>$headline <br /><br />$overtext<br /><br /><hr /><br /></li>";
        }

        echo "</ul>";
      }
    ?>
  </body>
</html>

Wie müsste der Code richtig aussehen?

...zur Frage

PHP MySql Login / Passwort überprüfung?

Kann mir da jemand sagen wo der Fehler liegt ? Ich bin da am verzweifeln.

Login, Registrierung, Fehlermeldung, SQL Struktur habe ich alles in die Frage gepackt damit ihr einen besseren überblick habt.

login.php:

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

    $username = htmlspecialchars(stripslashes(trim($_POST['username'])));
    $password = htmlspecialchars(stripslashes(trim($_POST['password'])));

    $statement = $pdo->prepare("SELECT * FROM user WHERE username = :username");
    $result = $statement->execute(array('username' => $username
                                    ));
    $user = $statement->fetch();
    //Überprüfung des Passworts
    if ($user !== false && password_verify($username, $password['passwort'])) {
        $_SESSION['userid'] = $user['id'];
        die('Login erfolgreich. Weiter zu <a href="geheim.php">internen Bereich</a>');
    } else {
        $errorMessage = "Nutzername oder Passwort war ungültig<br>";
    }

}catch (PDOException $e) {
    print "Error!: " . $e->getMessage() ;
    exit;
  }

Konsole :

<br />
<b>Warning</b>: Undefined variable $pdo in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />
<br />
<b>Fatal error</b>: Uncaught Error: Call to a member function prepare() on null in C:\xampp\htdocs\Test\assets\php\login.php:14
Stack trace:
#0 {main}
 thrown in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />

register.php

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

SQL STRUKTUR :

Datenbankname : Test

Tabelle : user , 5 Spalten/Rows

id | int , (auto increment)
username | varchar , (unique)
password | varchar, (gehasht mit salt sha512)
cash | varchar
time | datetime, (mit current time stamp)

und ich mache alles mit AJAX.

-PDO statt mysqli

...zur Frage

In PHP SQL aus Variable ausführen?

Ich habe in PHP eine Variable $inhalt erstellt und möchte den Inhalt der Variable gerne als SQL in einer Datenbank ausführen.

$dblink = new PDO('mysql:host=HOST;dbname=NAME', 'BENUTZERNAME', 'PASSWORT');
$inhalt = 'INSERT INTO `testTabelle`(`inhalt1`, `inhalt2`) VALUES(10, 1)';
$dblink->query($inhalt)

Allerdings passiert nichts.

Hoffe Auf Hilfe,
Bohne47

...zur Frage

MySQL-Verbindung über PDO herstellen?

Ich habe hier eine Datei, die ich nicht verändern kann, weil sie automatisch generiert wird.

<?php
  class DATABASE_CONFIG {
    var $default = array(
      'driver' => 'mysql',
      'persistent' => false,
      'host' => 'localhost',
      'login' => 'benutzername',
      'password' => 'MeinPasswort',
      'database' => 'datenbankname',
      'prefix' => '',
    );
  }

Leider kann ich über mein System diese Datenbankinformationen nur über PDO abrufen. Das sähe dann so aus:

$pdo = new PDO("mysql:host=$db_host;dbname=$db_name", $db_user, $db_password);

Wie kann ich hierbei die einzelnen Strings (von oben) den Variablen zuordnen?

Wenn ich das Script jetzt ausführe (nur die obere Datei eingebunden), bekomme ich diese Fehlermeldung:

Error 500
AH01071: Got error 'PHP message: PHP Fatal error: Cannot redeclare class DATABASE_CONFIG in /var/www/vhosts/MEINESEITE.com/SUB.MEINESEITE.com/include/config/database.php on line 4\n'

Wenn man ein bisschen googelt findet man als Lösung bzw. Fehlerermittlung, dass es diese Klasse schon gibt. Allerdings bin ich mir ziemlich sicher, dass ich diese Klasse noch nirgendwo eingebunden habe.

...zur Frage

mehrdemensionales Array aus Datenbank auslesen mit php?

Hallo ich programmiere mit einem kleinem Team eine Onboarding Website für Mitarbeiter. Allerdings haben wir ein Problem beim auslesen unserer Datenbank. wir haben uns mit dem fronted Team abgesprochen dass wir die Daten per Array übergeben. Nun haben wir uns die daten per Array ausgeben lassen, per foreach schleife ausgeben lassen und zurück in mehrdemsionales Array gepackt. Allerdings können wir dieses nur per var_dump ausgeben und nicht mithilfe einer foreach Schleife normal per echo.

Wie können wir das umbauen?

Hier der aktuelle Code:

<?php 


    function getdata() {
    $pdo = new PDO('mysql:host=localhost; dbname=t-systems', 'root', '', [
        PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION
    ]);
    $stmt = $pdo->prepare('SELECT * FROM `user`');
    $stmt->execute();
    $results = $stmt->fetchAll(PDO::FETCH_ASSOC);

    foreach ($results as $result) {
        $Ort = $result['Ort Name'];
        $ID_User = $result['ID'];
        $Vorname = $result['Vorname'];
        $Nachname = $result['Nachname'];
        $Telefonnummer = $result['Telefonnummer'];
        $mail = $result['Email'];
        $PLZ = $result['Plz'];
        $Straße = $result['Strasse'];
        $Hausnummer = $result['Hausnummer'];

        $userdata[] = [$Ort, $ID_User, $Vorname, $Nachname, $Telefonnummer, $mail, $PLZ, $Straße, $Hausnummer];
    }
       var_dump($userdata);

    }

Danke fürs weiterhelfen

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen