作者Lussica (...)
看板PHP
標題[請益] 連接資料庫的安全性
時間Sun Apr 19 23:20:54 2015
小弟新手, 最近正在練習撰寫會員系統,
目前看的範例大多是寫個config.php 來連接 MySQL,
<?php
$db_host = 'localhost';
$db_user = 'id';
$db_pass = 'pw';
$db_name = 'test';
?>
之後再用 $con = mysql_connect($db_host, $db_user, $db_pass); 做連接...
做作業沒問題, 可是若一旦要放到網路上,
有心者只要下載config.php就可以知道我資料庫的帳號和密碼了,
要怎麼避免這種情形了?
先謝謝大家了~~~
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.163.152.100
※ 文章網址: https://webptt.com/m.aspx?n=bbs/PHP/M.1429456857.A.0F0.html
1F:推 shadowjohn: php 的內容正常沒echo下,只是個看不到的變數 04/19 23:25
2F:→ shadowjohn: 不然就是要把資料庫設定檔移到網頁webroot外層 04/19 23:25
3F:→ shadowjohn: 有些安全掃碼軟體會以變數名稱如password當風險處理 04/19 23:26
4F:→ shadowjohn: db 的連線不可以予許對外,不要讓人直接連 04/19 23:27
5F:→ shadowjohn: phpmyadmin之類的東西用完就要移走~ 04/19 23:28
6F:→ carylorrk: 也可以用 ssl + rsa key 連 04/20 01:08
7F:→ MOONRAKER: 你那是什麼httpd可以讓人下載到config.php?想太多 04/20 02:18
8F:推 GALINE: 不正常,有機會,例如弄壞.htaccess,或ftp被鑽.. 04/20 09:56
9F:→ GALINE: 這算防禦縱深,至少不會做錯一件事就完蛋 04/20 09:58
10F:→ GALINE: 不然..db只能從localhost登入,幹嘛怕密碼洩漏 (別這樣 04/20 10:04
11F:→ TobyH4cker: 至少,以正常的情況來講,是原Po的觀念有問題 04/20 11:24
13F:→ TobyH4cker: XD 04/20 12:25
14F:→ Lussica: 謝謝各位大大提點, 小弟有稍微清楚了點, 繼續學習消化中~ 04/20 23:33
15F:推 rockmanalpha: 最保險就是密碼檔案放在WebRoot上層 盡量不要用 04/21 10:16
16F:→ rockmanalpha: Web的DB管理系統如PHPMyAdmin DB我覺得絕對應該只能 04/21 10:17
17F:→ rockmanalpha: localhost連接 用SFTP不要用FTP 04/21 10:18
20F:→ hua1980: k-download.html 04/25 10:17