php - 保护具有数据库写权限的文件

Question

关于安全问题，我有一个巧妙的问题。

• 如何保护目录和该目录中的文件免受黑客攻击？

案子：

• 网站上所有连接/登录到具有写入权限的 dBase 的文件都存储在一个目录中
• dBase 上的所有其他请求都是只读的。（即网页请求）
• 一切都是用 PHP 和 jQuery 编写的。
• （因此，这个问题也悬而未决：你如何保护主 .js 文件的下载？）

对此的解决方案是 - 经过广泛的研究 - 我仍然不清楚。

我想知道您是否对此有任何想法。而且我知道在此阅读您的想法会非常有用:-)

提前致谢！

Answer 1

有几种方法可以解决这个问题。第一种方法是在您不希望任何人看到的目录中使用 .htaccess 文件。像下面这样的东西应该可以工作：

order allow,deny
deny from all

更好的方法是将凭据存储在 www 根目录之外的服务器上的单独文件中。

<?php
$dbUsername = 'mywebapp';
$dbPassword = 'jlsdkfj94r493340rfj30f';
?>

然后只需将其包含在您的主代码中

<?php
include '/path/to/secure/location/vars.php';
?>

这也让您更严格地限制对该文件的访问。例如，我不会将我的密码添加到源代码管理中。

您关于网站一般安全性的问题的第二部分实际上取决于您需要的安全性。Javascript 文件总是需要客户端可访问的，并且这些文件中的任何内容都可以毫不费力地取出和读取。

我的快速网络安全提示是：

• 清理/参数化从用户到数据库的任何输入
• 从公共文件中删除密码和敏感信息
• 为您的网络服务器提供最新的安全补丁
• 始终使用完善且经过测试的密码库。永远不要尝试自己实现
• 对命中数据库的任何密码进行加盐和哈希处理

网络和计算机安全是一门完整的学科，因此如果您的风险很高，您可能需要寻找专家。

Answer 2

如果你想保护它们不被阅读，你可以使用 ioncube 对它们进行编码。但是有了一个安全的网站，您无需考虑保护您的文件，因为没有人可以访问这些文件。

Answer 3

这种课程的安全性有许多不同的方法。但是一个简单的基本安全方法可能是拒绝目录列表到文件夹，然后创建编码文件名并将它们放在 dBase 中。