0

在我连接到数据库的任何文件中,我在文档开头都有这一行:

include ('database/data.php');

它完全由

$database = mysqli_connect(host,Username,Password,Table);

然后在“数据库”文件夹中,我有一个 .htaccess 文件,其中包含:

<files data.php>
order allow,deny
deny from all
</files>

到目前为止它工作正常,但我需要知道 - 这安全吗?

4

3 回答 3

2

只要您不打印/回显您的数据库凭据,技术上人们就无法掌握它们。

于 2013-09-25T06:48:43.110 回答
0

到目前为止,您是安全的,但请确保您的所有其他文件都被过滤掉了常见的攻击RFI,如SQL Injection. 如果存在RFI可用的(远程文件包含)攻击(比如在您的上传图像/上传文件(表单)中),那么攻击者可能会上传一个c99shell 并删除您的所有文件。

于 2013-09-25T06:52:12.123 回答
0

它仍然在您document_root的网络服务器下,因此如果您的网络服务器配置发生问题,它可能会吐出您的凭据。使用此设置,如果 PHP 停止并开始吐出原始文本,您将不会遇到问题。但是如果网络服务器出现故障,例如 .htaccess 没有得到正确的解析,它将很容易受到攻击。

最好将目录拆分为公共和私有部分。后者将保存您的数据库凭据。

于 2013-09-25T06:52:42.967 回答