1. дома
  2. Вопрос и ответ
  3. Сведения о подключении Secure MYSQL

Сведения о подключении Secure MYSQL

2012-06-01 2 views
1

Просто хотел немного советов по этому вопросу. Возможно ли просматривать исходный код PHP в браузере. Я думаю, что это не так. Но хотелось бы убедиться, что мои данные о соединениях, например:Сведения о подключении Secure MYSQL

include ("connection.php"); 
$con = mysql_connect("$host","$db_name","$db_user, $db_pass");

не может быть вызван и просмотрен кем-либо с браузером.

Если я.htaccess файл connection.php, это означает, что вы не можете получить доступ к файлу с помощью ftp, но что любой скрипт, вызывающий файл include(), по-прежнему будет работать?

Надеюсь, что имеет смысл. Все, что я пытаюсь сделать, это то, что мои пароли для подключения к базе данных будут безопасными. Любой совет будет очень полезен.

источник

2012-06-01 user1022772

ответ

5

Есть несколько способов протечек вам PHP кода через браузер, среди прочего:

  1. Misconfigured сервер (так что файл PHP не получить разобран)
  2. Создание резервных копий файлов добавив расширение: например secretfile.php.bak
  3. Также это может быть возможно, что злоумышленник получить в файл, выполнив: http://example.com/../../../etc/passwd
  4. Не действительно способ получить в PHP файлов, а другой распространенный способ получить информацию через SQL Injection. (Я вижу, вы используете mysql_* -> пожалуйста, прекратите его использование):

Пожалуйста, прекратите писать новый код с древних mysql_* функций. Они больше не поддерживаются, и сообщество начало deprecation process. Вместо этого вы должны узнать о prepared statements и использовать либо PDO, либо MySQLi. Если вы не можете решить, this article поможет выбрать. Если вы хотите узнать, here is a quite good PDO-related tutorial.

Считается хорошей практикой хранить все файлы php вне корня документа и сохранять только файл начальной загрузки в корневом каталоге документа.

Еще одна вещь, которую вы должны настроить для своей базы данных, чтобы принимать соединения только с localhost, когда это возможно.

источник

2012-06-01 13:16:50 PeeHaa

+0

мой хост-провайдер выиграл, t позволяет мне хранить за пределами корня. Спасибо за информацию об амортизированных функциях mysql_. Будет изучать PDO или mysqli – user1022772

0

Нет, никто не может просматривать PHP код (если они не каким-то образом получили доступ к серверу по FTP, SSH ...)

источник

2012-06-01 13:15:18 Jeroen

+4

Пока апач настроен правильно. –

1

NO. Вы не можете видеть код сервера (PHP) в браузере, если только что-то не так в конфигурации вашего сервера.

Итак, расслабьтесь & перестаньте беспокоиться о том, что кто-то украл ваше имя пользователя db & пароль с "view source" в браузере. Вот не происходит

источник

2012-06-01 13:16:37 CuriousMind

1

Моим советом было бы создать один файл конфигурации со всеми вашими конфиденциальными данными. Убедитесь, что этот файл находится за пределами корневого сервера.

источник

2012-06-01 13:17:27 dm03514

0

Это NOT можно просмотреть код PHP. Но можно каким-то образом управлять своим приложением.Итак, что вы можете сделать, чтобы быть в два раза обеспеченный, включает в себя файл с данными подключения в нем с путем за пределами вашей общественной иерархии, например:

/home/public_html/index.php <= your website 

http://yoururl.org gets to public_html => index.php 

/home/files/connectionData.php <= file to store your files

источник

2012-06-01 13:18:31

Смежные вопросы

 Смежные вопросы