download php e sicurezza db

[musicdate]

salve, ancora alle prese con i miei dilemmi sulla sicurezza.
supponiamo che io abbia un file miofile.php in cui è scritto

$connection=mysql_connect ( "localhost", "miouser", "password");

supponiamo che un male intenzionato conosca che nel file miofile.php è incluso il codice di cui sopra e voglia venire a conoscenza della password: può in qualche modo scaricare il file php in locale sul suo computer e leggerne il contenuto (quindi la password)?
se sì come posso evitare che ciò accada?

grazie

[karl94]

La configurazione predefinita del server di AlterVista non lo permette: i file con estensione php vengono prima passati all'interprete e solo dopo spediti al richiedente. Tuttavia è pur sempre possibile che un componente (software) del server abbia un qualche problema e che permetta di fare ciò, ma è ben più probabile che le vulnerabilità vengano introdotte dal gestore del sito, che spesso carica script obsoleti o soggetti a famosi tipi di attacchi.

[Gianluca]

musicdate:

Se il file in questione è un .php e il relativo codice è tra <?php e ?> questo non può accadere. In ogni modo puoi risolvere il problema alla radice non specificando una password, su AlterVista l'accesso al database è legato al tuo spazio web, e quindi è cosa non necessaria.

[musicdate]

La configurazione predefinita del server di AlterVista non lo permette: i file con estensione php vengono prima passati all'interprete e solo dopo spediti al richiedente. Tuttavia è pur sempre possibile che un componente (software) del server abbia un qualche problema e che permetta di fare ciò, ma è ben più probabile che le vulnerabilità vengano introdotte dal gestore del sito, che spesso carica script obsoleti o soggetti a famosi tipi di attacchi.

ciao e grazie per la risposta.
potresti farmi un esempio di script soggetto a famosi attacchi? c'è un sito di riferimento da qualche parte su cui ci si può documentare?
per attacchi intendi attacchi al database (tipo injection,...) oppure al php (passami il termine) per ottenere la password?

ti ringrazio cmq per la risposta in questi e nei post precedenti ;)

[musicdate]

musicdate:

Se il file in questione è un .php e il relativo codice è tra <?php e ?> questo non può accadere. In ogni modo puoi risolvere il problema alla radice non specificando una password, su AlterVista l'accesso al database è legato al tuo spazio web, e quindi è cosa non necessaria.

ciao e grazie.
non so se ho capito bene la risposta ma, se ad esempio dovessi fare un forum su cui postare messaggi, come potrei garantire l'accesso ad altri utenti senza specificare la password?

[karl94]

Gianluca ti ha spiegato che su AlterVista non è necessario specificare né l'utente né la password per accedere al database MySQL mediante PHP.
Per quanto riguarda il forum, tu non devi occuparti di nulla: sarà il tuo applicativo a gestire il sistema di autenticazione.
Comunque per evitare problemi di sicurezza, assicurati di usare sempre l'ultima versione dell'applicativo.

[musicdate]

Gianluca ti ha spiegato che su AlterVista non è necessario specificare né l'utente né la password per accedere al database MySQL mediante PHP.

vediamo se ho capito bene:
attraverso un file .php posso accedere al mio db senza specificare alcuna password ed alcun nome utente purchè il mio file .php si trovi nel mio spazio web (o cmq in quello del db a cui voglio accedere) -> creo una $connection senza specificare nè password nè nome utente ed ho risolto, giusto?

[karl94]

Esattamente. Potresti anche mettere credenziali errate, tanto il sistema ignora quei parametri.

[musicdate]

molte grazie ad entrambi

in ambito php devi stai attento all'uso funzione readfile(), ma se non usi tale funzione dovresti stare tranquillo.
Secondariamente i rischi si possono correre nel caso apache va in tilt con il modulo php (ma qui c'è poco da fare).