我正在使用我网站上的表格使用 PEAR 邮件功能发送电子邮件。电子邮件将通过 gmail 发送,如此处所述 - http://www.phpmaniac.net/wiki/index.php/Pear_Mail
因此,我需要包括以下内容:
<?php
$smtp_params["host"] = "smtp.gmail.com";
$smtp_params["port"] = "25";
$smtp_params["auth"] = true;
$smtp_params["username"] = "user@gmail.com";
$smtp_params["password"] = "pass";
?>
像这样将我的用户名和密码放在脚本中是否安全?显然,您将无法使用“查看源代码”看到这样的服务器端脚本,但是您可以通过网络剪辑器或其他方式获取源文件并以这种方式阅读脚本吗?谢谢
如果有人不小心在你的 apache 上禁用 php 解析,你的文件将作为纯文本提供,所以我喜欢将密码保存在我的 docroot 之外的配置文件中......以防万一。有几次在为 apche 构建新的 php 模块时,我忘记将 php.conf 文件复制到我的 httpd/conf.d/ direcoty 并在没有 php 的情况下启动 apache。一世
理论上,任何不安全的连接都可以被窥探。但是,在这种情况下,它需要在您的服务器和 gmails smtp 服务器之间被拦截。此外,即使您将电子邮件安全地发送到邮件服务器,您也不能确定他们会安全地连接以发送邮件,或者预期的收件人会安全地检查他们的电子邮件帐户。
在这种情况下,您只关心您的基本身份验证是否被窥探。使用 gmails 安全 ssl 连接
假设所有电子邮件通信都不安全,以确保安全。(除非您加密消息)
您当然应该使用 SSL/TLS 进行连接 - 仅仅是因为通过未加密的通道以明文形式发送密码是一个坏主意。
只要 PHP 解释器正常工作并且 PHP 脚本中没有允许攻击者查看 PHP 文件源代码的安全漏洞,PHP 脚本中的登录数据就是安全的。
针对配置错误导致 PHP 源代码可见的风险,一个简单的改进是将配置文件存储在文档根目录之外。