的fopen用户名和密码的安全性

Question

我使用简单文件数据库（必须）和我把一个Apache basic_auth我将通过PHP的fopen()与包含在URL中的用户名和密码，然后访问该文件夹，例如在：

fopen("http://username:password@domain.com/protectedDir/file.txt","r"); 

我只是想知道这是如何安全，这在侦察眼睛方面，因为我知道POST和任何其他请求可以被用户窥探，但用户是否能够看到fopen()请求的url？

Answer 1

URL默认情况下对用户不可见。但是，它可能会显示在错误消息中，例如，当domain.com暂时无法访问时。禁用向用户显示错误。

其次，建议使用HTTPS发送通过网络加密的用户名和密码，而不是纯文本。

编辑：PHP隐藏用户名和密码错误消息：

PHP的警告：的fopen（HTTP：//...@domain.com/protectedDir/file.txt）： 未能打开流：HTTP请求失败！ HTTP/1.0 404未找到