作者Lussica (...)
看板PHP
标题[请益] 连接资料库的安全性
时间Sun Apr 19 23:20:54 2015
小弟新手, 最近正在练习撰写会员系统,
目前看的范例大多是写个config.php 来连接 MySQL,
<?php
$db_host = 'localhost';
$db_user = 'id';
$db_pass = 'pw';
$db_name = 'test';
?>
之後再用 $con = mysql_connect($db_host, $db_user, $db_pass); 做连接...
做作业没问题, 可是若一旦要放到网路上,
有心者只要下载config.php就可以知道我资料库的帐号和密码了,
要怎麽避免这种情形了?
先谢谢大家了~~~
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.163.152.100
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/PHP/M.1429456857.A.0F0.html
1F:推 shadowjohn: php 的内容正常没echo下,只是个看不到的变数 04/19 23:25
2F:→ shadowjohn: 不然就是要把资料库设定档移到网页webroot外层 04/19 23:25
3F:→ shadowjohn: 有些安全扫码软体会以变数名称如password当风险处理 04/19 23:26
4F:→ shadowjohn: db 的连线不可以予许对外,不要让人直接连 04/19 23:27
5F:→ shadowjohn: phpmyadmin之类的东西用完就要移走~ 04/19 23:28
6F:→ carylorrk: 也可以用 ssl + rsa key 连 04/20 01:08
7F:→ MOONRAKER: 你那是什麽httpd可以让人下载到config.php?想太多 04/20 02:18
8F:推 GALINE: 不正常,有机会,例如弄坏.htaccess,或ftp被钻.. 04/20 09:56
9F:→ GALINE: 这算防御纵深,至少不会做错一件事就完蛋 04/20 09:58
10F:→ GALINE: 不然..db只能从localhost登入,干嘛怕密码泄漏 (别这样 04/20 10:04
11F:→ TobyH4cker: 至少,以正常的情况来讲,是原Po的观念有问题 04/20 11:24
13F:→ TobyH4cker: XD 04/20 12:25
14F:→ Lussica: 谢谢各位大大提点, 小弟有稍微清楚了点, 继续学习消化中~ 04/20 23:33
15F:推 rockmanalpha: 最保险就是密码档案放在WebRoot上层 尽量不要用 04/21 10:16
16F:→ rockmanalpha: Web的DB管理系统如PHPMyAdmin DB我觉得绝对应该只能 04/21 10:17
17F:→ rockmanalpha: localhost连接 用SFTP不要用FTP 04/21 10:18
20F:→ hua1980: k-download.html 04/25 10:17