Einzelnen Beitrag anzeigen
  #1  
Alt 08.05.2010, 11:37:34
Poison Poison ist offline
Anfänger
 
Registriert seit: May 2010
Alter: 49
Beiträge: 9
Daten im php-Befehl mysql verschlüsseln

Hallo Zusammen,

ich bin neu hier im Forum und habe vermutlich eine ziemlich blöde Frage.

In den letzten Wochen habe ich mit verschiedenen Tutorials versucht, mir PHP anzueignen. Leichte Dinge, wie ein Datei zu inkludieren oder eine if-else-Anweisung zu schreiben funktionieren nun schon mal. Damit ich alles gut testen kann, habe ich mir XAMPP auf dem Rechner installiert.

Jetzt habe ich mich mit dem Thema PHP und mySQL beschäftigt, da ich möchte, dass sich die Besucher meiner Homepage (wenn sie dann mal fertig ist) registrieren und einloggen müssen, um auf meine Seite zu gelangen.

Hintergrund: es gibt auf meiner Seite Rätsel zu lösen und Abenteuer zu bestehen. Für richtige Lösungen gibt es Punkte oder virtuelles Geld. Um einen besseren Überblick über die Teilnehmer zu haben, ist eine Registrierung der Besucher da sicher sinnvoll (denke ich mir zumindest).

Gestern habe ich mich an einem eigenen kleinen Script versucht. Es hat alles funtkioniert, aber ich bin über eine Sicherheitsfrage gestolpert. Hier mal die Zeilen des Scripts, zu dem ich Hilfe brauche.

Ich öffne die Datenbank mit folgendem Befehl, um Daten auszulesen:

PHP-Code:
$verbindung mysql_connect('localhost''Vesta''vesta');
mysql_select_db("homepage"); 
Solange ich das auf meinem Rechner tue, ist soweit ja alles in Ordnung. Sollte ich das Script jedoch auf diese Art Online stellen, können alle im Quelltext den Servernamen, meinen Benutzernamen und mein Passwort für die SQL-Datenbank sehen und meinem Verständnis nach auf meine Datenbank zugreifen. Ein Hacker würde sich vermutlich einen ablachen, weil er sich nicht mal die Mühe machen müsste, etwas zu entschlüsseln.

Nun bin ich auf der Suche nach einer Möglichkeit diese Sicherheitslücke zu schließen.
Mir schwirrt schon der Kopf von allem, was ich gelesen habe. Leider habe ich nichts gefunden, was für einen Anfänger wie mich, leicht umzusetzen wäre.

Daten mit MD5 zu verschlüsseln, wäre eine Variante. Ich habe auch schon ein Turorial dazu entdeckt, wie man das macht. Es soll aber nicht besonders sicher sein. Oder irre ich mich da?

In einem anderen Forum, habe ich die Rückmeldung erhalten, die Daten doch einfach in eine externe Datei zu sichern und mit "include" einzubinden. Die Idee fand ich nicht schlecht. Dazu müsste ich aber die Datei dann mit .htaccess sichern und mein Provider unterstützt die Installation von .htaccess auf demServer nicht.

Im PHP-Kochbuch habe ich nun das Thema "Verschlüsselung mit AES" gefunden. Leider verstehe ich bei den Beispielen nur Bahnhof bzw. kann für mich nicht herauslesen, wie ich das in mein Script einbinden kann.

Über Hilfe wäre ich echt dankbar.

Liebe Grüße
Poison
Mit Zitat antworten