0

我有一个使用 php 访问 SQL 数据库的网站。它工作正常,我添加了各种检查以确保用户登录以访问所需的网页等,我对此感到满意。

我的问题是,当他们到达使用 php 访问 SQL 数据库的网站的报告部分时,数据库用户名和密码在 php 文件中传递:

$username = "username";
$password = "password";

$con = mysql_connect(localhost, $username, $password) or die(mysql_error());

这是不好的做法 - 是否存在安全风险?如果是这样,有什么方法可以解决它?

非常感谢

4

2 回答 2

1

由于 php 是在服务器上呈现的,因此页面的访问者无法看到用户名和密码。因此,将数据存储在 php 页面上并不是一个坏习惯。查看用户名和密码的唯一方法是是否有人可以访问服务器以查看文件。

另一种方法是拥有一个可由 php 读取但位于站点公共文件夹之外的配置文件。

于 2013-06-12T17:18:51.567 回答
0

在 php 文件中对数据库登录信息进行排序是一种很好的做法,而且很常见。访问者无法查看此信息,因为代码在页面发送给用户之前已被解析。作为额外的安全级别,如果数据库位于同一服务器上,最好将数据库配置为禁止外部访问。

于 2013-06-12T17:20:04.747 回答