目前,我的网络服务器上的一个文件夹中有两个文件,一个名为 password.php。该文件包含一行:
<?php $password = 'my_password' ?>
另一个 php 文件包含我只想在正确的密码参数发布到页面时执行的脚本。我已经这样设置了
<?php require 'password.php';
if (isset($_POST["Password"]) & $_POST["Password"] == $password){
//Execute code...
}
else {
echo "Error";
}
?>
现在我的问题是,如果这是一种确保不受欢迎的人无法通过手动向其发布信息来执行页面上的脚本的安全方法吗?有人告诉我,如果脚本处理器被禁用,服务器可以将原始脚本发送回服务器。这是否意味着人们可以故意禁用 www.mysite.com/directory/password.php 上的处理器并查看 $password 变量的值?
我被告知:“将 password.php 放在一个单独的文件中,并将其存储在 www 目录上方的目录中。然后它只能通过本地文件系统访问,而不能通过来自外界的 HTTP 访问。”
上述建议究竟是什么意思?我应该做些什么来使密码更安全吗?