我想知道当您在 XML 中格式化页面的各个部分以供以后提取和使用时,是否有人可以帮助阐明 PHP 如何变得更加安全。基本上,我们在“index.php”中有一个函数作为我们的设置,它负责创建页面。调用时,它会抓取一系列包含数据库连接信息和站点设置的 XML 文件。然后它将这些东西解析成一个数组以在代码中使用。随后,对整个页面设置和小部件设置执行相同的操作。
现在我承认,我只是不喜欢 XML。对于任何潜在的好处来说都过于冗长,而且通常是数据存储的糟糕选择(为什么不只使用数据库?),但我的同事坚持认为,由于 XML,我们的代码在某种程度上更加安全。他没有解释原因,但仍然相信。任何想法为什么会这样?
更糟糕的是,XML 文件被解析为全局变量,似乎如果一个漏洞进入索引,攻击者需要做的就是遍历 $GLOBALS 以检索数据库凭据和我们代码中的其他有价值的信息。似乎这破坏了在 XML 中存储数据的任何可能的好处。那么我在这里错过了什么?有什么想法吗?