« previous next »
Pages: [1]

Author Topic: 4images SQL Passwort für jeden lesbar?  (Read 5241 times)

0 Members and 1 Guest are viewing this topic.

vogel_pi

  • Guest
4images SQL Passwort für jeden lesbar?
« on: April 03, 2006, 03:44:22 PM »
Hallo zusammen,

ich habe mir die config.php für 4images mal näher angesehen und festgestellt, dass mein SQL Passwort dort in Klarschrift zu lesen ist.
Ist das nicht eine riesengroße Sicherheitslücke ?
Kann das Passwort nicht von jedem ausgelesen werden ?

Ich bin jetzt etwas verunsichert.
Wer kann mir hierzu etwas sagen ?

Vielen Dank und Grüße

Vogel
Logged

Offline IcEcReaM

  • Hero Member
  • *****
  • Posts: 714
    • View Profile
    • My little Testboard
Re: 4images SQL Passwort für jeden lesbar?
« Reply #1 on: April 03, 2006, 05:37:21 PM »
nö.

kannst du denn den quellcode deiner index.php lesen?

wenn der server richtig eingstellt ist,
ist das lesen des quellcodes nicht möglich.
(deswegen heisst die datei ja auch config.php und nicht config.txt)
Logged
Coding is a everlasting competition between programmers who tries to write larger, better and idiot-safe programs and the universe producing larger and stupider idiots...
...so far the universe won
bump

vogel_pi

  • Guest
Re: 4images SQL Passwort für jeden lesbar?
« Reply #2 on: April 03, 2006, 10:35:41 PM »
Danke Dir für die Antwort.
Auf die Gefahr hin, dass ich Anfängerfragen stelle (bin kein PHP Profi - leider).
Wie kann ich denn feststellen, dass der Server korrekt eingestellt ist ? Bzw. wie kann ich versuchen den Quelltext der Index bzw. Config.php anzuzeigen als normaler Besucher der Homepage ?

Schönen Abend :-)

Vogel
Logged

Offline kai

  • Administrator
  • Addicted member
  • *****
  • Posts: 1.423
    • View Profile
    • 4images - Image Gallery Management System
Re: 4images SQL Passwort für jeden lesbar?
« Reply #3 on: April 03, 2006, 11:09:33 PM »
Quote from: vogel_pi on April 03, 2006, 10:35:41 PM
Auf die Gefahr hin, dass ich Anfängerfragen stelle (bin kein PHP Profi - leider).
Wie kann ich denn feststellen, dass der Server korrekt eingestellt ist ? Bzw. wie kann ich versuchen den Quelltext der Index bzw. Config.php anzuzeigen als normaler Besucher der Homepage ?

Probiere einfach mal die config.php über den Browser aufzurufen. Also www.yourhost.com/4images/config.php zum Beispiel. ;)
Du wirst nichts sehen.

Wir können Dich beruhigen: Sofern PHP auf dem Server läuft (und nur dann funktioniert 4images) kann niemand die Datei von außen einsehen.

Kai
Logged
Your first three "must do" before you ask a question:
1. Forum rules
2. FAQ
3. Search

vogel_pi

  • Guest
Re: 4images SQL Passwort für jeden lesbar?
« Reply #4 on: April 04, 2006, 11:15:10 PM »
okay. Danke Dir für die Antwort.
Dann bin ich etwas beruhigter, auch wenn ein Passwort im Klartext bei mir immer leichte Bauchschmerzen verursacht.
Vielleicht kann das ja zukünftig von den Programmierern berücksichtigt werden.

Viele Grüße, Vogel
Logged

Offline IcEcReaM

  • Hero Member
  • *****
  • Posts: 714
    • View Profile
    • My little Testboard
Re: 4images SQL Passwort für jeden lesbar?
« Reply #5 on: April 06, 2006, 01:47:04 AM »
naja, an sich gibts da nichts grossartig zu berücksichtigen,
da das Passwort so oder so an den SQL Server gesendet werden muss,
d.h. auch wenn es in der Datei verschlüsselt gespeichert werden würde,
müsste es irgendwann im script wieder entschlüsselt werden,
würde somit keinen wirklichen nutzen bzw zusätlichen schutz bieten.

man sollte sowieso für alle zugänge unterschiedliche passwörter benutzen,
d.h. FTP/CPanel/SQL/userlogin für 4images selbst...
Logged
Coding is a everlasting competition between programmers who tries to write larger, better and idiot-safe programs and the universe producing larger and stupider idiots...
...so far the universe won
bump
Pages: [1]
« previous next »