MySQL, vagy egyéb jelszó elrejtése a kódban úgy, hogy ne lehessen visszafejteni vele?

Ez csodálatos, de engem speciel az érdekelne, hogy kódilag mit akarsz elérni...

Mi a logika, mit akarsz csinálni a kódoddal?

> Játékot

Tehát kliens oldal, kliens oldalon egyféle adatbázis van: a lokális. Ilyen például az SQLite, vagy egy sima xml fájl. Ezekben tudod tárolni a felhasználó adatait.

Ha MySQL-hez, vagy esetleg egy komolyabb DBMS-hez (mint pl.: Postgres, Oracle, MS SQL) akarsz csatlakozni akkor egy szolgáltatáson keresztül teszed meg azt. Ez lehet webservice, vagy bármi egyéb. A telepített DBMS alapból csak a localhoston (127.0.0.1) érhető el alapból és ennek komoly okai vannak. Magyarul a szerver oldalon kell neked egy szolgáltatás ami a helyi DB-hez kapcsolódik, és mivel ezt a user nem látja ezért biztonságos.

Elég komoly biztonsági hibák merülnek fel ha egy kliens csak úgy simán elér egy távoli db-t:

- A user/pass kódba van égetve kiolvasható, feltörhető

- Ha meg kell adni: kiolvasható lehallgatható, még a HASH-elt is.

- Minden kimenő SQL parancs lehallgatható, kicserélhető.

- SQL injection

- Mivel a szerveren lévő db deaemon kifelé is hallgatózik ezért támadható akár exploittal is, akkor meg az szerverednek is annyi.

A php-s megoldással már jó helyen keresgélsz. Egy szerver oldalon futó scriptet akarsz elérni, olyan mint egy webservice, csak bonyolultabb.

Gyakorlatilag az is megoldás, ha SSH kapcsolatot létesítesz a szerverrel, majd ott adsz ki parancsokat a dbms konzoljával. Egy kellőképpen biztonságos SSH kapcsolat már nehezen támadható. Ez akkor megoldás ha valóban adatbázis szinten akarsz adatot kezelni, de az esetek 98%-ban az alkalmazás absztrakciós szintjén kell kezelned őket, azaz nem táblákba insert-elsz, hanem magasabb szintű funkciókat hívsz, akár RPC-vel is.

Amúgy mire kell neked DBMS egyáltalán?