有人可以從我的服務器外訪問我的數據庫嗎?
[英]Can someone access my database from outside my server?
問題描述
我試圖“ 谷歌黑客 ”我的網站,看看發生了什么(我最近讀到了它),我搜索site:www.x.com intitle:"index of" "server at" + db 。
並在三個目錄中找到了一個.inc文件。
<?php
class clsSettings
{
var $site = "localhost";
var $sitedb = "x";
var $siteuser = "x";
var $sitepass = "x";
} /* settings */
?>
有人可以從我的服務器外訪問我的數據庫嗎?
我應該擔心這種敏感的信息曝光嗎?
注意:我使用X s刪除了敏感信息。
2 個解決方案
解決方案1
3 2012-04-22 17:19:14
這就是為什么你沒有將.php以外的任何文件命名為.php 。 您可以將服務器配置為根據需要將.inc文件或任何文件擴展名解析為PHP,但這不是常見配置,尤其是在共享服務器上。
如果您可以看到包含密碼的文件內容,那么世界其他地方也可以。 此外,Aziz關於更改robots.txt的評論對你沒有任何幫助。 事實上,您可以通過這種方式提醒您注意隱藏的內容,因為任何試圖訪問您網站的人都不會遵循robots.txt中的規則。
除非由於某些特定原因需要它,否則通常不允許自動目錄索引。
解決方案2
1 2012-04-22 17:23:21
我相信您通過將文件擴展名重命名為.php來解決此問題。
在服務器上使用新密碼執行此命令(即通過SSH):
mysqladmin -u root -p 'oldpassword' password newpass
然后更改所有引用的PHP文件的密碼。
此外,您可能需要創建一個“機器人陷阱”來停止不遵循robots.txt文件的機器人,有關詳細信息,請參閱http://www.fleiner.com/bots/#trap 。 但請注意,這是一種弱保護措施。
您也可以將其添加到WWW根目錄中的.htaccess以停止目錄列表:
Options -Indexes
使用共享托管並且無法訪問外部Webroot時,如何保護數據庫憑據?
[英]How can I secure my database credentials when using shared hosting and no access to outside the webroot?
如何使用本地IP地址而不是localhost訪問數據庫mysql服務器
[英]How can I access my database mysql server using my local ip address instead of using localhost
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.