2

背景:我正在创建一个网站(在典型的 LAMP 环境中),该网站通过基于 PHP/XML 的 API 在不同域(但在同一服务器上)连接到数据库。这样做的原因是我不想在我正在处理的域上拥有数据库连接详细信息。为了使其正常工作,我为该域启用了“allow-url-fopen”设置。

我的问题是,由于这是我知道如何做到这一点的唯一方法,有没有人知道实现这个结果的更好、更安全的方法?

4

1 回答 1

0

如果两个域都驻留在同一台服务器上,您不需要使用 HTTP 连接到 MySQL,您仍然可以在本地登录到 MySQL 服务器,为存储连接信息的域提供正确的凭据。

但它并没有真正起到很好的安全目的,就好像你的连接细节即使在同一个域上也不是安全漏洞,因为只要你的网络服务器配置为使用,你的 PHP 页面就不会以任何原始形式成为服务器PHP 很好。您可以并且可能应该将它们保留在同一个域中。事实上,拥有一个可公开访问的用于数据库连接的 API 是一个更大的漏洞

于 2013-08-13T07:46:35.190 回答