gpt4 book ai didi

php - 安全 MYSQL 连接详细信息

转载 作者:行者123 更新时间:2023-11-29 04:02:20 24 4
gpt4 key购买 nike

只是想就此提出一些建议。是否可以在浏览器中查看 PHP 源代码。我认为不是。但是想确保我的连接详细信息,例如:

 include ("connection.php");
$con = mysql_connect("$host","$db_name","$db_user, $db_pass");

不能被任何有浏览器的人调用和查看。

如果我 .htaccess connection.php 文件,这是否意味着您无法使用 ftp 访问该文件,但是调用 include() 文件的任何脚本仍然有效?

希望这是有道理的。我只是想确保我的数据库连接密码是安全的。任何建议都会非常有帮助。

最佳答案

有几种方法可以通过浏览器泄露您的 PHP 代码,其中包括:

  1. 错误配置的服务器(这样 php 文件就不会被解析)
  2. 通过附加扩展名制作备份文件:例如secretfile.php.bak
  3. 攻击者也可能通过以下方式获取文件:http://example.com/../../../etc/passwd
  4. 这不是真正进入 php 文件的方法,但另一种获取信息的常用方法是通过 SQL Injection . (我看到你正在使用 mysql_* -> 请停止使用它):

Please stop writing new code with the ancient mysql_* functions. They are no longer maintained and community has begun the deprecation process . Instead you should learn about prepared statements and use either PDO or MySQLi. If you cannot decide, this article will help to choose. If you care to learn, here is a quite good PDO-related tutorial.

将所有 php 文件保存在文档根目录之外并且只在文档根目录中保存 Bootstrap 文件被认为是一种很好的做法。

另一件事,您应该将数据库设置为在可能的情况下只接受来自本地主机的连接。

关于php - 安全 MYSQL 连接详细信息,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10851007/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com