[英]Where is the most secure place to put MySQL connection details for PHP
[英]Secure MYSQL connection details
只是想對此提供一點建議。 是否可以在瀏覽器中查看PHP源代碼。 我以為不是。 但是要確保我的連接詳細信息,例如:
include ("connection.php");
$con = mysql_connect("$host","$db_name","$db_user, $db_pass");
帶有瀏覽器的任何人都不能調用和查看它。
如果我.htaccess connection.php文件,這是否僅意味着您無法使用ftp訪問該文件,但是任何調用include()文件的腳本仍然可以使用嗎?
希望有道理。 我要確保的是我用於數據庫連接的密碼是安全的。 任何建議都將非常有幫助。
有幾種方法可以通過瀏覽器泄漏PHP代碼,其中包括:
http://example.com/../../../etc/passwd
: http://example.com/../../../etc/passwd
mysql_*
->請停止使用它): 請停止使用古老的
mysql_*
函數編寫新代碼。 它們已不再維護,社區已開始棄用過程 。 相反,您應該了解准備好的語句,並使用PDO或MySQLi 。 如果您不能決定, 本文將有助於選擇。 如果您想學習, 這里有一個很好的PDO相關教程 。
最好將所有php文件保留在文檔根目錄之外,而僅將引導文件保留在文檔根目錄中。
您還應該將數據庫設置為在可能的情況下僅接受來自localhost的連接。
沒有。 除非服務器配置中有問題,否則您將無法在瀏覽器中看到服務器端(PHP)代碼。
因此,放松並停止擔心有人從瀏覽器的“查看源代碼”中竊取您的數據庫用戶名和密碼。 那不是真的
我的建議是創建一個包含所有敏感數據的配置文件。 確保此文件位於服務器根目錄之外。
不,沒有人可以查看您的PHP代碼(除非他們以某種方式通過FTP,SSH等訪問了您的服務器)
這是不可能的,查看PHP代碼。 但是可能以某種方式操縱您的應用程序。 因此,可以做兩次保護的工作是,從公共層次結構外部的路徑中包含一個包含連接數據的文件,例如:
/home/public_html/index.php <= your website
http://yoururl.org gets to public_html => index.php
/home/files/connectionData.php <= file to store your files
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.