Форум PHP

Можно ли гарантированно обезопасить информацию в текстовых файлах,
если на них построена база данных или часть базы данных?

Что Вы имеете ввиду под безопасностью?

Если база хранится в файлах, а файлы — в отдельной директории, то самое, имхо, логичное, это завалить ее файлом .htaccess с директивой «deny from all».
Тогда, по идее, http-доступ к этой базе будет прикрыт, в то время как «родные» скрипты будут спокойно её читать.

>Тогда, по идее
Тогда два вопроса.
1. Во-первых, "идея" гарантии какова?
2. Во-вторых, можно ли сравнить и дать объективную оценку, где надежней:
2.1 В txt
2.2 В MySQL
2.3 Одинаково.

1. Идея в том, что неправильно настроенный апач может таки отдать содержимое директории, например, если он по какой-то причине проигнорирует htaccess
2. Сравнивать нельзя. Каждый подход можно усложнять и усложнять, и везде можно наделать ошибок и дыр безопасности. Если, к примеру два человека возьмутся с разных концов, один за БД, другой за файловое хранение, то на разных этапах, глядя друг на друга, они будут видеть то более слабую относительно своей, то более устойчивую систему защиты. Особенно если периодически они будут встречаться и поочередно говорить друг другу: "моё кунг-фу сильнее твоего кунг-фу".
В конце концов, тот же MySQL сводится все к тем же файликам, только с другим расширением, которые лежат где-то на диске, и обрабатываются неимоверно сложной системой. А тот, второй человек, может создать в конце концов настолько же сложную.

Тогда можно наверное свести вопрос к практике как критерию истины.
Точнее.
Как протестировать безопасность информации и обладать достаточной дозой объективности для наиболее характерных случаев взлома?

Вам бы немного больше конкретики. Или ожидаете здесь увидеть 500 рецептов по взлому некачественного сайта?

Куда уж конкретннее:
1. Имеем информацию в файле.
2. Необходимо проверить и изменить настройки(сервер и т.д.) для обеспечения защиты информации в файле.
3. Протестировать и дать оценку степепени защиты.

Посоветуйте пожалуйста для ориентировки ссылки на какие-нибудь страницы инет или каких то авторов, которые специализируются в данном напрвлении. Наверное, если бы я в этом ориентировался, то не задавал вопрос на форуме.

http://www.softtime.ru/info/apache.php?id_article=27, напрмер. Начните с этого.

Спасибо, но это я уже нашел, благодаря вашим рассуждениям в другом месте
http://www.php.su/articles/?cat=apache&page=010 и приводил чуть ниже по тексту.
Это один из эксурсов.
Конкретизирую дальше.
1. Будут ли указанные действия считаться профессиональными, при реализации типового, не самого высокопрфессионального проекта.
Я понимаю, что для обеспечения высокой безопасности информации, над изучать очень много и очень много и изучать документации разработчиков
2. Посоветуйте пожалуйста авторов, книги на которые можно было ориентироваться, как на высокопрфессиональные рекомендации.
Может даже знаете какие-то оригинальные статьи, публикации.
3. Есть ли какие-то утвержденные стандарты, например стандарты разработчика, которые говорили бы о соответствии безопасносности информации определенному уровню или классу надежности

1. Да. Никто никого никогда не обвинит в непрофессионализме, если тот защищает директории стандартными средствами. Скорее, наоборот.
2. Затруднюсь. Пройдите в тему "Разное" и спросите там.
3. Много стандартов. http://tinyurl.com/ylmbwls
Каждый разработчик ставит стандарты себе сам, основываясь на экспертных оценках и собственных принципах. Один из любимых параметров специалистов-аналитиков — это взломостойкость системы, измеренная в часах-минутах-секундах. Методы подсчета, опять же, у всех разные.

>взломостойкость системы.
Что здесь подразумевается? Как испытывается? Хотя бы один пример

Включаем фантазию.
Для зашифрованного контента — например, скорость подбора пароля брутфорсом.
Для новой системы управления, скажем, содержимым сайта — время, которое пройдет до первого подтвержденного сообщения об обходе системы защиты.
Слышал про такие случаи, когда сам создатель системы объявлял награду за документированный взлом, и все желающие потрясти мускулами набрасывались, тем самым одновременно тестируя и помогая улучшать систему, удовлетворяя ЧСВ и зарабатывая денежку.

Еще логичнее вынести этот файл за пределы корня документов.

Интересно...Куда? Почему логичнее?

Куда?
За пределы. Выше по дереву.

Почему логичнее?
Запрет (вернее - http-недостижимость ) перестанет зависеть от настроек apache (и даже от самого типа http-сервера)

Если, как вы пишите, перестанет зависеть от настроек apache (и даже от самого типа http-сервера), значит и htaccess с deny from all окажется бесполезным. Или я не правильно что-то понимаю.

>... значит и htaccess с deny from all окажется бесполезным. Или
> я не правильно что-то понимаю.

Оба утверждения верны.

Вот тут нашел подтверждение верности хода Ваших мыслей http://www.php.su/articles/?cat=apache&page=010

Обезопасить, т.е. защитить доступ к информации из вне.
Например, если надо создать быстро какойто блок, а в нем пароли ...

Кодируй информацию в файлах по какому-нибудь хитроумному механизму :)

только не "кодируй" , а "шифруй". И желательно - с механизмом попроще, а ключом - посложнее :))

А txt с инфой в отдельную папку лучше или без разницы, можно и с php,

Создаёшь файлы с расширением php
В начале каждого пишешь
<?php die("Здесь хакерам не место!");?>

Ну а дальше делаешь все что хочешь, либо, можно запретить доступ с помощью htaccces, в папке с файлами создаешь соответствующий файл и пишешь

Deny from all

Можно ещё в начале имени файла писать точку по идеи Unix такие скрывает