目前,我有我的web服務器文件夾中的兩個文件,一個被稱爲password.php。該文件包含一行:安全存儲PHP變量值
<?php $password = 'my_password' ?>
其他PHP文件中包含的腳本,我只是想,如果正確的密碼參數被髮布到網頁來執行。我有它設置這樣
<?php require 'password.php';
if (isset($_POST["Password"]) & $_POST["Password"] == $password){
//Execute code...
}
else {
echo "Error";
}
?>
現在的問題是,如果這確保不需要人手動張貼到它的信息在頁面上無法執行腳本的安全方式?有人告訴我,如果腳本處理器被禁用,服務器可以將原始腳本發送回服務器。這是否意味着人們可能會故意禁用www.mysite.com/directory/password.php上的處理器並查看$ password變量的值?
我被告知:「將password.php放在一個單獨的文件中,並將其存儲在www目錄上的目錄中,然後只能通過本地文件系統訪問,而不能通過來自外部的HTTP訪問「。
上述建議究竟意味着什麼?我應該做任何事情來使密碼更安全嗎?
當您使用ftp(或用於傳輸文件的任何協議)連接到託管服務提供商時,文件夾結構的外觀如何?通常情況下,您將擁有/ yourUserName/public或public_html,您可以在其上載您應在yourdomain.com上提供的所有文件。你可以在公共目錄之外放置配置文件(實際上幾乎所有的服務器端文件)。這意味着如果我去yourdomain.com/config.php,它不在那裏。 – JimL
部分回答:這意味着什麼*「...位於www目錄之上」,例如,將它放在您的'cgi-bin'中,而不是您的'public_html'文件夾。例如,我仍然使用'.txt'來存儲信息,並受到'.htaccess'文件的保護。 '.txt'文件存儲在我的'cgi-bin'文件夾的一個子文件夾中,並且也由'.htaccess'保護。 –
不是保護網站的好方法。有一條規則。切勿在代碼中使用硬編碼密碼。有人可以訪問服務器上的文件,並可以讀取您的密碼 – sinaneker