![](/img/trans.png)
[英]Where is the most secure place to put MySQL connection details for PHP
[英]Secure MYSQL connection details
只是想对此提供一点建议。 是否可以在浏览器中查看PHP源代码。 我以为不是。 但是要确保我的连接详细信息,例如:
include ("connection.php");
$con = mysql_connect("$host","$db_name","$db_user, $db_pass");
带有浏览器的任何人都不能调用和查看它。
如果我.htaccess connection.php文件,这是否仅意味着您无法使用ftp访问该文件,但是任何调用include()文件的脚本仍然可以使用吗?
希望有道理。 我要确保的是我用于数据库连接的密码是安全的。 任何建议都将非常有帮助。
有几种方法可以通过浏览器泄漏PHP代码,其中包括:
http://example.com/../../../etc/passwd
: http://example.com/../../../etc/passwd
mysql_*
->请停止使用它): 请停止使用古老的
mysql_*
函数编写新代码。 它们已不再维护,社区已开始弃用过程 。 相反,您应该了解准备好的语句,并使用PDO或MySQLi 。 如果您不能决定, 本文将有助于选择。 如果您想学习, 这里有一个很好的PDO相关教程 。
最好将所有php文件保留在文档根目录之外,而仅将引导文件保留在文档根目录中。
您还应该将数据库设置为在可能的情况下仅接受来自localhost的连接。
没有。 除非服务器配置中有问题,否则您将无法在浏览器中看到服务器端(PHP)代码。
因此,放松并停止担心有人从浏览器的“查看源代码”中窃取您的数据库用户名和密码。 那不是真的
我的建议是创建一个包含所有敏感数据的配置文件。 确保此文件位于服务器根目录之外。
不,没有人可以查看您的PHP代码(除非他们以某种方式通过FTP,SSH等访问了您的服务器)
这是不可能的,查看PHP代码。 但是可能以某种方式操纵您的应用程序。 因此,可以做两次保护的工作是,从公共层次结构外部的路径中包含一个包含连接数据的文件,例如:
/home/public_html/index.php <= your website
http://yoururl.org gets to public_html => index.php
/home/files/connectionData.php <= file to store your files
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.