1

只是想对此提出一些建议。是否可以在浏览器中查看 PHP 源代码。我想不是。但想确保我的连接详细信息,例如:

 include ("connection.php");
$con = mysql_connect("$host","$db_name","$db_user, $db_pass");

任何使用浏览器的人都无法调用和查看。

如果我 .htaccess the connection.php 文件,这是否意味着您无法使用 ftp 访问该文件,但任何调用 include() 文件的脚本仍然可以工作?

希望这是有道理的。我要确保的是我的数据库连接密码是安全的。任何建议都会非常有帮助。

4

5 回答 5

5

有几种方法可以通过浏览器泄露您的 PHP 代码,其中包括:

  1. 错误配置的服务器(因此 php 文件不会被解析)
  2. 通过附加扩展名制作备份文件:例如 secretfile.php.bak
  3. 攻击者也有可能通过以下方式访问文件:http://example.com/../../../etc/passwd
  4. 不是真正进入 php 文件的方法,但另一种获取信息的常用方法是通过SQL 注入。(我看到您正在使用mysql_*-> 请停止使用它):

mysql_*请停止使用古老的功能编写新代码。它们不再被维护并且社区已经开始了弃用过程。相反,您应该了解准备好的语句并使用PDOMySQLi。如果你不能决定,这篇文章将有助于选择。如果你想学习,这里有一个相当不错的 PDO 相关教程

将所有 php 文件保留在文档根目录之外并仅在文档根目录中保留引导文件被认为是一种很好的做法。

您应该将数据库设置为仅在可能的情况下接受来自本地主机的连接的另一件事。

于 2012-06-01T13:16:50.910 回答
1

不。您无法在浏览器中看到服务器端 (PHP) 代码,除非您的服务器配置有问题。

所以放松并停止担心有人从浏览器中的“查看源代码”窃取您的数据库用户名和密码。这不会发生

于 2012-06-01T13:16:37.900 回答
1

我的建议是创建一个包含所有敏感数据的配置文件。确保此文件位于服务器根目录之外。

于 2012-06-01T13:17:27.757 回答
0

不,没有人可以查看您的 PHP 代码(除非他们以某种方式通过 FTP、SSH 访问了您的服务器……)

于 2012-06-01T13:15:18.453 回答
0

无法查看 PHP 代码。但是有可能以某种方式操纵您的应用程序。因此,为了获得双重保护,您可以采取哪些措施,从公共层次结构之外的路径中包含一个包含连接数据的文件,例如:

/home/public_html/index.php <= your website

http://yoururl.org gets to public_html => index.php

/home/files/connectionData.php <= file to store your files
于 2012-06-01T13:18:31.330 回答