Enlaces
Esta en:

documentos
Arriba
Bind-9
Bind-8
Ad+bind
Dhcp
Kdephp
Shell
Trucos
Php
Documentos
Cuestiones php
Fedora
Legal
W2000 xp
COMOS
Errores dns

Re: [PHP-ES] Recomendación sobre uso de usuario y password para conexión con la base datos.

Write haof XML files: Xavier Vidal Piera <xavividal_at_gmail.com>
Fecha: Mon, 1 Oct 2007 12:40:01 +0200

No es cuestión de si los datos de conexión están en un archivo php o txt,
sino que deben estar fuera de la carpeta raíz de la web (el DOCUMENT_ROOT de
apache, p.e.).

Si el archivo está accesible en al ámbito de navegación web, aunque sea php,
es posible que apache se cuelgue y provoque que los archivos PHP no sean
procesados sino tratados como simple texto y por tanto susceptibles de ser
descargados. No hay que confiar en los .htaccess.

On 10/1/07, Gerardo Benitez <gerardobenitez_at_gmail. com> wrote:
>
> Es verdad lo que decis sobre si alguien tiene acceso al archivo donde
> tenes
> la información. lo que ocurre es que generalmente esa información para
> darle
> mayor seguridad a la aplicación deberias ponerla en un archivo .php por lo
> menos, de ese modo no lo van a poder acceder por medio de la url.
>
> Por otro lado la información de acceso siempre la pones en un archivo solo
> que despues lo incluis en los otros, o sea que no tendrias que distribuir
> tu
> info de contacto a la db en cada archivo.
>
> Yo creo que la información de conexión a la base de este modo esta
> aceptablemente segura, pero me gustaria que opinen los que saben sobre
> seguridad.
>
>
>
> On 10/1/07, Pablo Braulio <brulics_at_gmail.com> wrote:
> >
> > El 1/10/07, Gerardo Benitez <gerardobenitez_at_gmail.com> escribió:
> > > Hola Pablo, según lo que contas parece que estas confundiendo los
> tipos
> > de
> > > usuario. Por un lado tendrias los usuarios de tu aplicación, que solo
> > > tendrían acceso a la información que le brinde tu aplicación, y por
> otro
> > > tenes los usuarios que se conectan a tu base de datos.
> > >
> > > El usuario que se conecta a la base de datos es un usuario interno a
> la
> > > aplicación, y no deberian conocerlo los usuarios de tu aplicación, a
> > menos
> > > que tu aplicación sea para administrar la base de datos.
> > >
> > > Los usuarios de la aplicación yo los guardo en una tabla de la base de
> > > datos, siempre. Despues de un usuario se loguea en la aplicación
> guardo
> > su
> > > id y su nro de permisos en una variable de session, y lo uso para
> > consultar
> > > en caso que quiera ingresar a un area que requiere permisos.
> > >
> > > Bueno, creo que esa es un poco la idea.
> > >
> > > Saludos.
> > >
> > >
> > > --
> > > Gerardo Benitez
> > >
> >
> > Hola Gerardo.
> >
> > Entiendo lo que dices, y es lo que he estado haciendo hasta ahora,
> > pero me han surgido dudas.
> >
> > Haciendo como tu dices, que es igual que yo lo he hecho hasta ahora,
> > tienes en algún script de php donde recoges el host, basedatos, user,
> > password para usar la función pg_connect o mysql_connect (dependiendo
> > el caso). Realmente eso no me gusta mucho, pues si por lo que sea
> > alguien tiene acceso a dicho archivo la hemos liado.
> >
> > Había pensado que usando los usuarios del sistema (postgres) podría
> > ser mas apropiado, pues de ese modo no lo pones en ningún script y
> > puedes establecer roles y permisos a determinadas tablas. Es sólo una
> > idea.
> > --
> > Saludos.
> > Pablo.
> >
>
>
>
> --
> Gerardo Benitez
>
> ----------------------------------------------------------------------
> mercadoagil.com.ar
>
> webseficientes.com.ar
> tips y articulos para desarrolladores web
> ----------------------------------------------------------------------
>

-- 
Xavier Vidal Piera
Enginyer Tècnic Informà tic de Gestió
Tècnic Especialista Informà tic d'equips
xavividal_at_gmail.com
xvidal_at_lavanguardia.es
http://web.xaviervidal.net
610.68.41.78
Nearby lun oct 01 2007 - 18:23:03 CEST

Este archivo fue generado por hypermail 2.2.0 : mié nov 07 2007 - 20:55:37 CET


Página Principal
Google

Web
dns.bdat.net

Visita nuestro proveedor:
www.bdat.net

Publicidad:

Impresenteibols:Humor Jazz, música en vivo