Hello Markus,

Ich stehe jetzt kurz davor, meine erste Homepage hochzuladen. Hoster usw. ist alles gefunden...
Jetzt stellt sich mir die Frage, ob meine MySQL-DB nicht ein wenig unsicher ist:

Die DB ist mit einem Usernamen+Passwort geschützt. Diese Daten stehen in der db.inc.php. Die Rechte die der User hat, der in diese Datei eingetragen ist, sind INSERT, SELECT ... Wenn jetzt jemand auf seiner Seite die db.inc.php einfach included, könnte er ja theoretisch auf die Datenbank zugreifen oder?
Wie kann ich mich davor schützen

Die Sicherheit Deiner Datenbank hängt an unterschiedlichen seidenen Fäden, die i.d.R. parallel gespannt sind, also die Zugriffswege erweitern und somit die Sicherheit vermindern.

Deine Datenbankdaten sind irgendwo physisch gespeichert.
Wer hat lesenden oder sogar schreibenden Zugriff auf diesen Speicherort?

Deine Datenbank wird durch einen Dienst bedient, den Datenbankserver
Wer hat Rechte auf diesen Server? Wer hat ihn gestartet oder kann ihn stoppen?

Dein Datenbankserver ist per Socket vom Local Host erreichbar
Wer kennt die Zugangsdaten?

Dein Datenbankserver ist per Port (typisch 3306) erreichbar.
Wer kennt die Zugangsdaten?

Jeder Datenbankuser kann per eigenem Host, Usernamen und Passwort identifiziert werden. Wenn Du nun einem User@Localhost mit Passwort 123456 alle Rechte gibst, dann kann jeder, der sich als dieser User ausgeben kann, auf deinen Datenbankserver zugreifen, nicht aber auch unbedingt auf die Datenbank-Datenverzeichnisse.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg