Bestaat er een methode om de connectiegegevens van een PHP + SQL website te achterhalen? Dan bedoel ik de databasenaam, usernaam en userpassword die gebruik maken van desbetreffende database. Stel dat een website een config.php file heeft met die gegevens, zo'n file is onmogenlijk te downloaden. Maar kun je die gegevens alsnog opvragen met een of andere script? Hoe gaat PHP eigenlijk om met zulke gegevens?
/u/26260/icon.png?f=community){kind=icon}
:strip_icc():strip_exif()/u/92790/crop603a4bed6f759_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/79725/bennieavatar.jpg?f=community){kind=avatar}
Zolang je dat bestand de .php extensie geeft is er niets aan de hand. Geef je het bestand echter de .cfg of de .inc extensie (wat veel gebeurd) dan kan je deze op vragen met de directe url (welke nog wel eens in je webstats wilt opduiken). Je kan evt. die bestanden ook buiten je webtree zetten (dus onder je webroot) maar dan moet het weer zo ingesteld worden dat bestanden binnen de webroot gebruik mogen maken van bestanden buiten je webroot 
Lastig allemaal. Noem het gewoon dbconn.cfg.php of iets dergelijks (iig met .php extensie).... dan is er weinig aan de hand.
Lastig allemaal. Noem het gewoon dbconn.cfg.php of iets dergelijks (iig met .php extensie).... dan is er weinig aan de hand.
.
:strip_icc():strip_exif()/u/43473/crop5e12eeae6a054_cropped.jpeg?f=community)
precies, en dan nog als extra beveiliging doe ik altijd nog een .htaccess:
code:
1
2
3
4
| <FilesMatch "(\config\.inc\.php)"> Order Deny,Allow Deny from all </FilesMatch> |
Ik gebruik FilesMatch met een regex zodat ik eenvoudig extra files kan toevoegen, of bijvoorbeeld alle "inc.php" files kan blokken
Pagina: 1