保护MYSQL连接详细信息

时间:2012-06-01 13:14:18

标签: php mysql

只是想对此提出一些建议。是否可以在浏览器中查看PHP源代码。我在想它不是。但是想确保我的连接细节,例如:

 include ("connection.php");
$con = mysql_connect("$host","$db_name","$db_user, $db_pass");
任何拥有浏览器的人都无法调用和查看

如果我.htaccess connection.php文件这样做只是意味着您无法使用ftp访问该文件,但是调用include()文件的任何脚本仍然有用吗?

希望这是有道理的。所有我想确保的是我的数据库连接密码是安全的。任何建议都会非常有帮助。

5 个答案:

答案 0 :(得分:5)

有几种方法可以通过浏览器泄露PHP代码,其中包括:

  1. 配置错误的服务器(以便不解析php文件)
  2. 通过附加扩展程序制作备份文件:例如secretfile.php.bak
  3. 攻击者也可能通过执行以下操作来访问文件:http://example.com/../../../etc/passwd
  4. 不是真正进入php文件的方法,但另一种获取信息的常用方法是SQL Injection。 (我发现你正在使用mysql_* - >请停止使用它):
    5.   

    请停止使用古老的mysql_*函数编写新代码。它们已不再维护,社区已经开始deprecation process。相反,您应该了解prepared statements并使用PDOMySQLi。如果您无法决定,this article将有助于选择。如果您想学习,here is a quite good PDO-related tutorial

    将所有php文件保留在文档根目录之外并且只在文档根目录中保留引导程序文件被认为是一种好习惯。

    您应该将数据库设置为仅在可能的情况下接受来自localhost的连接。

答案 1 :(得分:1)

NO。除非服务器配置中出现问题,否则您无法在浏览器中看到服务器端(PHP)代码。

所以放松和放松不要担心有人窃取你的数据库用户名&来自浏览器中“查看源”的密码。那是没有发生的

答案 2 :(得分:1)

我的建议是创建一个包含所有敏感数据的配置文件。确保此文件位于服务器根目录之外。

答案 3 :(得分:0)

不,没有人可以查看您的PHP代码(除非他们以某种方式通过FTP,SSH获得了对您服务器的访问权限)。

答案 4 :(得分:0)

NOT 可以查看PHP代码。但是有可能以某种方式操纵你的应用程序。因此,您可以做两次安全保护,包括一个文件,其中包含来自公共层次结构之外的路径中的连接数据,例如:

/home/public_html/index.php <= your website

http://yoururl.org gets to public_html => index.php

/home/files/connectionData.php <= file to store your files
相关问题
最新问题