Hallo,

ich möchte mit PHP4 und MySQL4 den Safe Mode von MySQL benutzen
("sql.safe_mode = On" in der php.ini).

Wenn dieser aktivert ist, nimmt er in PHP-Dateien angegebene
Benutzernamen und Passwörter nicht für den Datenbank-Zugriff an und
versucht sich wohl standardmäßig als root [at] localhost und ohne Passwort
bei MySQL anzumelden, was ja nicht klappt.

Wie kann ich diese Zugangsdaten festlegen. Ich dachte in einer my.cfg
im $HOME-Verteichnis von dem Beunutzer, unter dem der
Webserver (Apache2) läuft (als www-data unter Debian), aber die
Zugangsdaten werden auch nicht beachtet.

Laut http://www.php-faq.de/q/q-mysql-zugriff.html ist das festelegen
in der php-Konfiguration auch nicht sinnvoll.

Könnt ihr mir bitte helfen? Ich hatt diese Frage schon vor kurzem
hier gestellt.

TIA Martin
--
http://www.bretschneidernet.de OpenPGP-key: 0x4EA52583
(o_ (o_ Sallust:
_-//$ //> Nam idem velle atque idem
- V_/_V_)_ nolle, ea demum firma amicitia est.


--
http://www.bretschneidernet.de OpenPGP-key: 0x4EA52583
(o_ Ernest Hemingway:
(o_ (o_ (o_ //\ I like to listen. I have learned a great deal
(\)_(\)_(\)_V_/_ from listening carefully. Most people never listen.

Martin Bretschneider schrieb:
> Hallo,
>
> ich möchte mit PHP4 und MySQL4 den Safe Mode von MySQL benutzen
> ("sql.safe_mode = On" in der php.ini).

Was versprichts du dir davon?

> Wenn dieser aktivert ist, nimmt er in PHP-Dateien angegebene
> Benutzernamen und Passwörter nicht für den Datenbank-Zugriff an und
> versucht sich wohl standardmäßig als root [at] localhost und ohne Passwort
> bei MySQL anzumelden, was ja nicht klappt.

> Wie kann ich diese Zugangsdaten festlegen. Ich dachte in einer my.cfg
> im $HOME-Verteichnis von dem Beunutzer, unter dem der
> Webserver (Apache2) läuft (als www-data unter Debian), aber die
> Zugangsdaten werden auch nicht beachtet.

Apache hat damit nichts zutun und auch eine my.cfg nicht.

Die PHP Doku zeigt mysql.default_user und mysql.default_password sowie
PHP_INI_ALL was heist php.ini, httpd.conf, htaccess und im Script.

> Laut http://www.php-faq.de/q/q-mysql-zugriff.html ist das festelegen
> in der php-Konfiguration auch nicht sinnvoll.
>
> Könnt ihr mir bitte helfen? Ich hatt diese Frage schon vor kurzem
> hier gestellt.

Ohne arme keine Kekse :)




Gruss
Joerg

Joerg Behrens <behrens [at] takenet.de> wrote:

Hi Joerg,

> Martin Bretschneider schrieb:
> > Hallo,
> >
> > ich möchte mit PHP4 und MySQL4 den Safe Mode von MySQL benutzen
> > ("sql.safe_mode = On" in der php.ini).
>
> Was versprichts du dir davon?

Sicherheit;) Gut, in der php.ini steht diese Option, aber viel
Informationen dazu finde ich nicht wirklich. Viele die
--safe*-Optionen, die unter
http://sunsite.mff.cuni.cz/MIRRORS/ftp.mysql.com/doc/en/Comm and-line_options.html
zu finden sind...

> > Wenn dieser aktivert ist, nimmt er in PHP-Dateien angegebene
> > Benutzernamen und Passwörter nicht für den Datenbank-Zugriff an
> > und versucht sich wohl standardmäßig als root [at] localhost und ohne
> > Passwort bei MySQL anzumelden, was ja nicht klappt.
>
> > Wie kann ich diese Zugangsdaten festlegen. Ich dachte in einer
> > my.cfg im $HOME-Verteichnis von dem Beunutzer, unter dem der
> > Webserver (Apache2) läuft (als www-data unter Debian), aber die
> > Zugangsdaten werden auch nicht beachtet.
>
> Apache hat damit nichts zutun und auch eine my.cfg nicht.
>
> Die PHP Doku zeigt mysql.default_user und mysql.default_password
> sowie PHP_INI_ALL was heist php.ini, httpd.conf, htaccess und im
> Script.

Ja, das will ich ja eben nicht.

Zu dem Speichern der Daten in der php.ini steht ja selbst:

############################################################ #######
; Default password for mysql_connect() (doesn't apply in safe mode).
; Note that this is generally a *bad* idea to store passwords in this
; file.
; *Any* user with PHP access can run 'echo
; get_cfg_var("mysql.default_password")
; and reveal this password! And of course, any users with read access
; to this file will be able to reveal the password as well.
############################################################ ########

Das macht den ominösen safe mode doch sympatisch, oder nicht?

Ebenso, wenn man die Zugangsdaten in den php-Dateien speichert: Wenn
das php-Modul vom Apachen geladen werden kann, liefert er die
php-Datei ohne die Interpretation durch den php-Interpreter aus und
schon sind die Zugangsdaten für alle Welt im Klartext zu lesen. Gut,
das ist der GAU, aber man kann es ja beachten.

> > Laut http://www.php-faq.de/q/q-mysql-zugriff.html ist das
> > festelegen in der php-Konfiguration auch nicht sinnvoll.
> >
> > Könnt ihr mir bitte helfen? Ich hatt diese Frage schon vor kurzem
> > hier gestellt.
>
> Ohne arme keine Kekse :)

Hmm, das verstehe ich nicht;(

Martin
--
http://www.bretschneidernet.de OpenPGP-key: 0x4EA52583
_o)(o_ Mark Twain:
-./\\//\.- Whenever you find yourself on the side of
_\_VV_/_ the majority, it is time to pause and reflect.

Martin Bretschneider schrieb:

> ich möchte mit PHP4 und MySQL4 den Safe Mode von MySQL benutzen
> ("sql.safe_mode = On" in der php.ini).

12.2. Was genau bewirkt safe_mode und ist das sicher?
http://www.php-faq.de/q/q-konfiguration-safe-mode.html

Zwar nicht ganz aktuell, trifft aber IMHO immer noch den Nerv.

MfG
Niels

--
| http://www.kolleg.de · Das Portal der Kollegs in Deutschland |
| http://www.bsds.de · BSDS Braczek Software- und DatenSysteme |
| Webdesign · Webhosting · E-Commerce · Mambo Content Management |
`----------------------------------------------------------- -----´

Niels Braczek schrieb:
> Martin Bretschneider schrieb:
>
>
>>ich möchte mit PHP4 und MySQL4 den Safe Mode von MySQL benutzen
>>("sql.safe_mode = On" in der php.ini).
>
>
> 12.2. Was genau bewirkt safe_mode und ist das sicher?
> http://www.php-faq.de/q/q-konfiguration-safe-mode.html
>
> Zwar nicht ganz aktuell, trifft aber IMHO immer noch den Nerv.

Das kleine Wort 'sql' hattest du aber gesehen ja? Imho ist
sql.safe_mode so ueberfluessig wir nur irgendetwas und warum das
ueberhaupt existiert ist mir ein Raetsel.


regards
Joerg

Martin Bretschneider schrieb:
> Joerg Behrens <behrens [at] takenet.de> wrote:
>
> Hi Joerg,
>
>
>>Martin Bretschneider schrieb:
>>
>>>Hallo,
>>>
>>>ich möchte mit PHP4 und MySQL4 den Safe Mode von MySQL benutzen
>>>("sql.safe_mode = On" in der php.ini).
>>
>>Was versprichts du dir davon?
>
>
> Sicherheit;) Gut, in der php.ini steht diese Option, aber viel
> Informationen dazu finde ich nicht wirklich. Viele die
> --safe*-Optionen, die unter
> http://sunsite.mff.cuni.cz/MIRRORS/ftp.mysql.com/doc/en/Comm and-line_options.html
> zu finden sind...
>

Imho haben die nichts mit der PHP Options sql.safe_mode zutun.

>>>Wenn dieser aktivert ist, nimmt er in PHP-Dateien angegebene
>>>Benutzernamen und Passwörter nicht für den Datenbank-Zugriff an
>>>und versucht sich wohl standardmäßig als root [at] localhost und ohne
>>>Passwort bei MySQL anzumelden, was ja nicht klappt.
>>
>>>Wie kann ich diese Zugangsdaten festlegen. Ich dachte in einer
>>>my.cfg im $HOME-Verteichnis von dem Beunutzer, unter dem der
>>>Webserver (Apache2) läuft (als www-data unter Debian), aber die
>>>Zugangsdaten werden auch nicht beachtet.
>>
>>Apache hat damit nichts zutun und auch eine my.cfg nicht.
>>
>>Die PHP Doku zeigt mysql.default_user und mysql.default_password
>>sowie PHP_INI_ALL was heist php.ini, httpd.conf, htaccess und im
>>Script.
>
>
> Ja, das will ich ja eben nicht.
>
> Zu dem Speichern der Daten in der php.ini steht ja selbst:
>
> ############################################################ #######
> ; Default password for mysql_connect() (doesn't apply in safe mode).
> ; Note that this is generally a *bad* idea to store passwords in this
> ; file.
> ; *Any* user with PHP access can run 'echo
> ; get_cfg_var("mysql.default_password")
> ; and reveal this password! And of course, any users with read access
> ; to this file will be able to reveal the password as well.
> ############################################################ ########
>
> Das macht den ominösen safe mode doch sympatisch, oder nicht?
>
> Ebenso, wenn man die Zugangsdaten in den php-Dateien speichert: Wenn
> das php-Modul vom Apachen geladen werden kann, liefert er die
> php-Datei ohne die Interpretation durch den php-Interpreter aus und
> schon sind die Zugangsdaten für alle Welt im Klartext zu lesen. Gut,
> das ist der GAU, aber man kann es ja beachten.


Hmmm?
Da geht garnichts im Klartext raus. Das kann nur passieren wenn dein
Apache kein PHP mehr parsed und einer direkt auf die Datei zugreift. Dem
kann man aber abhelfen in dem die Datei ausserhalb den Dokumenten_Root
liegt.

>
>>>Laut http://www.php-faq.de/q/q-mysql-zugriff.html ist das
>>>festelegen in der php-Konfiguration auch nicht sinnvoll.
>>>
>>>Könnt ihr mir bitte helfen? Ich hatt diese Frage schon vor kurzem
>>>hier gestellt.
>>
>>Ohne arme keine Kekse :)

Ohne Arme kommt man nicht in den Keksdose. Sprich ohne hinterlegte User
und Passwds nicht an die Datenbank. Ich weis nicht was was du dagegen
hast es in einer config.inc.php abzuspeichern so wie es alle machen.

>
> Hmm, das verstehe ich nicht;(
>
> Martin


Gruss
Joerg

Joerg Behrens schrieb:
> Niels Braczek schrieb:
>> Martin Bretschneider schrieb:
>>
>>
>>>ich möchte mit PHP4 und MySQL4 den Safe Mode von MySQL benutzen
>>>("sql.safe_mode = On" in der php.ini).
>>
>> 12.2. Was genau bewirkt safe_mode und ist das sicher?
>> http://www.php-faq.de/q/q-konfiguration-safe-mode.html
>>
>> Zwar nicht ganz aktuell, trifft aber IMHO immer noch den Nerv.
>
> Das kleine Wort 'sql' hattest du aber gesehen ja? Imho ist
> sql.safe_mode so ueberfluessig wir nur irgendetwas und warum das
> ueberhaupt existiert ist mir ein Raetsel.

ACK.
Ich habe noch nicht erlebt, dass *safe_mode irgendetwas anderes bringt
außer Ärger.

MfG
Niels

--
| http://www.kolleg.de · Das Portal der Kollegs in Deutschland |
| http://www.bsds.de · BSDS Braczek Software- und DatenSysteme |
| Webdesign · Webhosting · E-Commerce · Mambo Content Management |
`----------------------------------------------------------- -----´