2009-02-25 96 views
0

我已經使用PHP連接到MYSQL。我有一個包括我把數據庫信息,連接信息等,我包括它是必要的。PHP和MySQL安全

什麼阻止某人抓取我的網站,發現這包括並連接到我的數據庫?我通常限制在MySQL中很少的priv,例如只能插入/更新數據的用戶。但我確實有一個完全控制的管理員用戶。

這裏保護我的連接信息的最佳做法是什麼?

感謝,

-Jason

回答

13

保持不包括Webroot公司內的一個文件夾中。如果有人確實可以通過Web服務器訪問您的網站,並且可以在文件系統中看到PHP,則包含的和敏感的詳細信息不在Web根目錄中。很多黑客只能訪問網站的位置。確保你的PHP源代碼目錄不存在。

1

你在使用什麼Web服務器?如果它的Apache或類似的,你可以將數據庫信息放置在文檔根目錄之外。

1

如果您的服務器配置正確,PHP代碼由PHP執行,只有輸出發送到瀏覽器,而不是源代碼本身。因此,瀏覽/抓取您的網站將永遠不會顯示PHP文件的內容,即數據庫憑證。

當然,如果您的服務器是而不是配置正確,這不一定是真實的。 (但在這種情況下,你應該修復它!)