Как думать о безопасности данных логина и пароля mysql в PHP?

Question

[Максим Иванов]

Вот, например, WordPress хранит данные подключения к mysql серверу прямо в index.php (чтобы не возиться с файлами я так полагаю отдельными), но все равно. Мы же можем написать плагин, который, например, считывает содержимое файла index.php и отправляет отчет прямо на другой сервер. Это типо вирус такой у нас.

Но тогда как вообще хранить данные? Во фреймворках сделано так, мы можем хранить отдельный php файл, но ведь нам все равно доступно чтение директорий, тогда какой толк, если есть какой-то php скрипт, который может читать наши файлы и тд.. То есть, если index.php подключает в себя virus.php, который читает директории и читает файлы, он же выполняется от имени index.php, то есть главного файла


Объясните, что нужно делать, чтобы обезопасить себя с доступом к mysql данным?

Answer 1

[Юрий]

от указанной тобой проблемы избавится просто - настроить mysql чтобы не было доступа извне, только localhost + твои ип. тогда те кто получат пароли от базы - все равно не смогут ими воспользоваться.

но в целом проблема начинается тогда когда ставишь php модуль и не знаешь насколько он надежный.
если скрипт запускается то он в любом случае может воспользоваться готовым соединением и выкачать нужные данные и уже отправить готовенькие куда надо.

Comments

[Максим Иванов]

а как же удаленный доступ? когда он так нужен, при разработке начального проекта на локальном хосте. А, когда они получают пароль и логин, они же могут зайти в phpMyAdmin хостинга и тут то же плохо

Answer 2

[Maronus]

Объясните, что нужно делать, чтобы обезопасить себя с доступом к mysql данным?

Не ставить подозрительные плагины/проверять код плагинов, которые устанавливаете.

Если вы строите дом, то вы же должны быть уверены в том, что бревна не сгниют через год? Лучшая защита — это вы сами.

Comments

[Максим Иванов]

А если сложный фреймворк и изучать нет времени, тут ведь проблема в другом, если найдут дыру во фреймворке, тогда и дыра в CMS-ке сразу. А если плагины с индуским кодом и по 100500 строк кода, на мой взгляд тяжелый труд не окупится, если кучу плагинов перепроверять, словно на спичках экономить приходится...

[Maronus]

splincodewd: "если найдут дыру во фреймворке, тогда и дыра в CMS-ке сразу" ну да. От этого никто совершенно не застрахован. Вспомните тот же heartbleed в openssl. Тут вопрос удобства/безопасности каждый решает сам. Можете не использовать плагины/cms/фреймворки и пилить только свои велосипеды, а можете сэкономить время и воспользоваться работой других.
Хотя это не защитит от дыры в интерпретаторе, например.

Есть решения для шифрования php-скриптов, но это используется скорее для защиты от копирования, нежели от защиты доступов к БД. IonCube например - www.ioncube.com

[kstyle]

https://habrahabr.ru/post/279539/ - плагин не подозрительный, проверить код не реально

Answer 3

[Максим Иванов]

Так что делать то лучше всего? Ответов на комментарии нет