Einsehen von PHP Sourcecode möglich??

Hi,
manche Webseiten (zB http://www.php.net) haben auf allen oder vielen Seiten unten einen Link "Get Source", was dann den Source dieser Seite rausrueckt.
Ist aber ein explizites feature (wofuer es auch wieder extra skripten braucht). Man sollte aber trotzdem nicht so "programmieren", dass Geheimnisse im Source stehen.

cu
XlF

Zitat

Original geschrieben von XlF42
Man sollte aber trotzdem nicht so "programmieren", dass Geheimnisse im Source stehen.

Irgenwoher muss ein Skript aber wissen welche Daten es zum Login in, z.B., eine MySQL Datenbank nehmen soll. Und an die PHP Sourcen kommt man ja nicht ran, ausser über FTP.

Hallo,

grosj: im normal Fall gibt es keine möglichkeit an den Quellcode von php Skripten zu kommen, da der Webserver aus dem php Skript einen html Code generiert, der an deinen Webbrowser geschickt wird. Die ausnahme, wann du eventuell einen Quelltext vom php Skript sehen kannst, ist, wenn ein programmierfehler in dem Skript ist (oder der Webserver fehlerhaft configuriert ist.
Daher speichert man keine Passwörter in einem php Skript. Es gibt die möglichkeit den user und das passwort in einer seperaten Datei zu speichern und diese dann auserhalb des Ordners, wo der Webserver die Dateien interpretiert, abspeichert. So wird diese Datei auch in einem Fehlerfall nicht angezeigt.

Eckoman: Das Passwort und den user für MySql kann man wie oben geschrieben in einer externen Datei halten.
Was aber auch möglich sein sollte:
Bei phpMyAdmin (php Skript für die configuration von MySql), muß in der configuration Datei auch das Passwort im klartext stehen. Da dies nie schön ist ein unverschlüsseltes Passwort anzugeben legt man einen neuen user in MySql an, der keine Rechte hat, außer die users und db Tabellen lesen zu können. Dann wird, wenn man phpMyAdmin aufruft ein user Name und das Passwort abgefragt. Mit dem neuen User ist es für php möglich in der Datenbank zu schauen, ob der user exestiert und ob das Passwort richtig ist.
Sollte irgend jemand gelingen den user Name und das Passwort herauszubekommen, was das php Skript benutzt, bringt ihm das nicht viel. Es kann egelich gesehen werden welche user in MySql angelegt sind.

Da ich einen Webserver auf dem gleichen PC habe, wie MySql habe ich für diesen user den hostname localhost angegeben. Somit dürfte man von einem anderem PC auch gar nicht auf die Datenbank kommen.

Gruß
Dirk

DirkP:
Wenn du den Usernamen & Passwort in einer externen Datei speicherst, kann man die aber evtl. auch von "aussen" anschauen.

Zitat

Original geschrieben von Eckoman
  DirkP:
Wenn du den Usernamen & Passwort in einer externen Datei speicherst, kann man die aber evtl. auch von "aussen" anschauen.

Sagte aber auch, außerhalb des Ordners (besser formuliert) -> In einem Ordner, wo nicht über die URL zu erreichen ist.

Siehe dazu PHP-Code im Browser sehen .

Somit muß man schon per ftp oder ssh sich auf dem Server einlogen.
Und solange die Passwörter verschlüsselt sind (wie auch in der Passwortdatei von .htaccess der fall ist), kann man nicht besonders viel anfangen.

Gruß
Dirk

Normal kommt man nicht an den PHP Qullcode, eine Ausnahme ist wie wenn schon gesagt, PHP komplett ausfallen sollte an der Server den Sourcecode im Klartext ausliefert. Wenn die Server einigermassen konfiguriert sind sollte das aber nicht passieren können. Eine andere Möglichkeit wäre ein Script über ein anderes Script auf dem Server auslesen zu lassen, aber normall sollten Server so konfiguriert sein, das man das nur innerhalb seines Ordners kann.