mysql sicherheit

[royal1177]

hallo,

ich habe den DB und den WEB Server getrennt.
Wenn es nun allerdings jemand schafft, den Web Server zu übernehmen, hat er ja leichtes spiel, auch an den DB Server zu kommen - indem er einfach die SQL Passwörter aus der PHP Datei ausliest.

Gibt es eine Möglichkeit sich in der Beziehung noch weiter zu schützen ?


mfg

[miker]

Nein, wenn ein PHP-Script Zugriff auf die DB haben soll, wird auch der erfolgreiche Angriff auf deinen Webserver zwangsläufig dazu führen, dass der Angreifer Zugriff auf deine Datenbank bekommt.

[royal1177]

ja muss ja leider - sonst ist halt kein connect möglich :-/

[miker]

Genau, also ist dein Job dafür zu sorgen, dass niemand bis zu diesem Punkt kommt. :-D

[sycronic]

verschlüssel die php-scripts doch einfach (zend)

[royal1177]

wenn jemand drauf ist , bringt mir das auch nix mehr :-/

[flo]

wenn jemand drauf ist , bringt mir das auch nix mehr :-/

Mööp - zuerst verschlüsseln, dann Hacker drauf lassen ist die Reihenfolge ... nicht umgekehrt ;-)

Der Zend Encoder wandelt das Script vor dem FTP-Transfer um - schnelle Fixes direkt auf dem Server sind damit passe, ist aber auch der einzige Nachteil außer dem Preis - AFAIR.

(ist jetzt 5 Jahre her, da kann einiges passiert sein!)

[konqui]

Der Zend Encoder wandelt das Script vor dem FTP-Transfer um - schnelle Fixes direkt auf dem Server sind damit passe, ist aber auch der einzige Nachteil außer dem Preis - AFAIR.

(ist jetzt 5 Jahre her, da kann einiges passiert sein!)

Naja Zend Encoder mag eine Lösung sein aber keine wirkliche Alternative :). Abgesehen davon wenn der Webserver schon mal gehackt wurde kommt der Angreifer noch in die DB in der die Infos stehen. Weiter aber nicht. Zumindest sollte er nicht :). Solange du auf dem DB Server dann noch ein Backup von der DB hast kannst du das relativ schnell wieder herstellen.

Ich würde wie schon geschrieben mehr sorgen machen das überhaupt jemand auf den Webserver kommt. Wenn das schon passiert ist ist der Rest nicht so schlimm :)