只需要一点点的建议就可以了。是否有可能在浏览器中查看PHP源代码。我想这不是。但要确保我的连接细节,例如:安全MYSQL连接详细信息
include ("connection.php");
$con = mysql_connect("$host","$db_name","$db_user, $db_pass");
不能被任何人用浏览器调用和查看。
如果.htaccess connection.php文件这是否意味着您不能使用ftp访问该文件,但是任何调用include()文件的脚本仍然可以使用?
希望是有道理的。所有我试图确定的是,我的数据库连接密码将是安全的。任何建议都会非常有帮助。
有几种方法泄漏您通过浏览器的PHP代码,其中包括:
http://example.com/../../../etc/passwdmysql_* - >请停止使用):请停止与古
mysql_*功能编写新的代码。他们不再维护和社区已经开始deprecation process。相反,您应该了解prepared statements并使用PDO或MySQLi。如果你不能决定,this article将有助于选择。如果你在意学习,here is a quite good PDO-related tutorial。
将所有php文件保留在文档根目录之外并且仅保留文档根目录中的引导文件被认为是一种好的做法。
另一件事,你应该设置你的数据库只接受来自本地主机的连接,如果可能的话。
没有,没有人可以查看你的PHP代码(除非他们以某种方式通过FTP,SSH ......获得了对您的服务器访问)
只要apache配置正确。 –
NO。您不能在浏览器中看到服务器端(PHP)代码,除非您的服务器配置中出现问题。
因此请放松&不要担心有人盗用您的db用户名&密码来自浏览器中的“查看源代码”。这不是发生
我的建议是创建一个包含所有敏感数据的配置文件。确保该文件位于服务器根目录之外。
这是不是可能查看PHP代码。但有可能以某种方式操纵你的应用程序。因此,您可以做两次安全措施,包括一个文件,其中包含您的公共层次结构之外的路径中的连接数据,例如:
/home/public_html/index.php <= your website
http://yoururl.org gets to public_html => index.php
/home/files/connectionData.php <= file to store your files
我的主机提供商赢了;允许我在根外面存储。感谢有关折旧mysql_函数的信息。将研究PDO或mysqli – user1022772