AJAX Chat - Zugansdaten MySQL verschlüsseln?
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
ablauf
blumenbeet
code
datei
datenbank
datum
dokument
eintragen
folgendes problem
ftp
herstellen
klartext
machen
posaune
programm
umsetzen
verbinden
verbindung
vorhaben
webseite
-
Hi,
ich habe vor, den AJAX Chat von blueimp auf meine Webseite zu integrieren, habe aber folgendes Problem.
In der config.php muss man ja seine Datenbankzugansdaten eintragen:
$config['dbConnection']['host'] = 'mysql.lima-city.de'; $config['dbConnection']['user'] = '****'; $config['dbConnection']['pass'] = '****'; $config['dbConnection']['name'] = '****';
Doch Ich kann ja nicht mein Passwort in Klarschrift eintragen und dann die Dateien auf den Webspace hochladen!? Dann könnte man ja die Zugansdaten für meine Datenbank leicht herausfinden. Deshalb meine Frage: Wie kann Ich mein Passwort veschlüsselt da einsetzen, wie man es z.B. auch in der .htpasswd macht? Ich habe mir schon überlegt, mit MD5 zu verschlüsseln, weiß aber nicht, wie Ich das umsetzen soll, und wenn man es einfach so verschlüsselt einsetzt, funktioniert das eben nicht.
Mfg Nico -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Warum sollte man das Passwort leicht rausfinden können? Wenn dein Dokument aufgerufen wird, wird das Passwort ja nicht zum Client gesendet.
-
Trotzdem möchte ich das Passwort gerne verschlüsseln, da ich mir vorstellen kann, das man leicht an die PHP-Datei kommen kann.
-
An die PHP-Datei kommt man nur, wenn man deine Zugangsdaten kommt. Eine Verschlüsselung ist an dieser Stelle auch nicht möglich.
-
Ok, trotzdem danke!
-
Das hört sich noch nicht so überzeugend an.
Du hast es ja auch schon selber geschrieben, dass du "die Daten auf den Webspace hochlädst".
Wie lädst du diese Daten hoch?
Mit einem FTP-Programm, das mit "deinen" Zugangsdaten eingestellt wurde.
Ergo kannst auch nur du auf diesen Webspace zugreifen.
Das Chat-Programm "blueimp" liest diese Zugangsdaten aus, um sich mit deiner Datenbank verbinden zu können.
Und nicht um diese Daten in die Welt zu posaunen. In diesem Fall hättest du dich bestimmt nicht für diese Chat-Software entschieden.
Dein Vorhaben, das Passwort zu verschlüsseln, hätte auch gar keinen Erfolg, da das Passwort zur Gegenprobe in der Datenbank ebenfalls verschlüsselt ist.
Angenommen dein Passwort lautet:
Blumenbeet
Der MD5 Hashwert dafür lautet:
9cc42687a13db231daaf2d22a5623486
Und dieser Wert steht in der Datenbank, damit ihn auch keiner lesen kann, der mal zufällig darin rumstöbert.
Vom Ablauf ist es so:
- Blueimp möchte sich mit der Datenbank verbinden, dafür liest es dein Passwort in der config-Datei im Klartext aus.
- Jetzt baut Blueimp mit deinen Zugangsdaten eine Verbindung zur Datenbank auf, aber nicht mit dem Passwort im Klartext,
sondern als MD5-Hashwert. Das heißt bei der Übertragung wird dein Passwort so übergeben "md5('Blumenbeet')".
- Die Datenbank vergleicht jetzt, ob die beiden Hashwerte übereinstimmen und gibt bei Übereinstimmung grünes Licht und stellt die Verbindung her.
Verschlüsselst du dein Passwort, versucht Blueimp das verschlüsselte Passwort nochmals verschlüsselt zu übertragen, um eine Verbindung herstellen zu können. Das wird natürlich nicht funktionieren.
Also es ist schon alles so sicher, wie es sein soll.
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage