php - mysql/php 这是连接到 mysql 数据库的安全方法吗？

Question

好吧，很多人都在问这个问题，而且有很多方法可以使与数据库的连接安全，

现在我做了一些谷歌搜索，许多人建议，将与数据库代码的连接放在 html_public 之外的文件中，并在我需要建立连接时从那里调用它。

老实说，我很满意我所拥有的，虽然我不确定它有多安全，

这是我连接到数据库的方式:

首先，我确保所有输入都经过完全转义和验证...

之后，在同一页面中，我建立连接，例如:

mysql_connect("localhost","Admin","Password") or 
die ("DB Connection Error");
mysql_select_db("Users") or die ("DB Error");

以及之后的其余代码，我关闭了 mysql 连接。

现在，感觉将数据库用户信息写在页面中是不对的，但是某人(“黑客”)如何获取此信息？

我的意思是，所有输入都经过完全转义和验证，我使用的用户只有非常有限的特权，例如选择和更新...。

这安全吗？？如果没有，您能否建议一种更安全的方法？

非常感谢您的提前帮助:)

阴暗

Answer 1

您应该考虑将此文件放在 Web 根目录之外的原因是某些托管服务提供商有时会暂时停止解释 PHP(由于配置错误，通常是在他们更新之后)。然后代码将以明文形式发送，密码将公开。

考虑这个目录结构，其中 public_html 是网络根目录:

/include1.php
/public_html/index.php
/public_html/includes/include0.php

现在考虑这个 index.php:

<?php
include('includes/include0.php');
do_db_work_and_serve_page_to_visitor();
?>

如果 Web 服务器开始公开提供此文件，很快就会有人尝试下载 include0.php。然而，没有人能够下载 include1.php，因为它位于 Web 根目录之外，因此永远不会被 Web 服务器处理。