use*_*286 5 mysql security php
我是一名 DB 和 SQL 初学者。我正在构建一个包含一些 SQL 查询的基本 PHP 应用程序。在我所有的搜索和学习中,每个示例都通过首先登录来访问数据库。这是有道理的,但在 PHP 中,您必须将这些凭据直接放在 PHP 文件中,如下所示:
$mysqli = new mysqli("localhost","user","password","db");
这看起来有风险。例如,我知道一些服务器故障会显示 php 文件的文本而不是执行。
这是为了让初学者容易上手而展示的东西吗?如果是的话,更好的方法是什么?或者说这就是标准并且真的没什么可担心的?为什么它不是安全漏洞?
我对 PHP 项目所做的就是在 http 文档根目录之外的文件中定义数据库凭据(或任何其他凭据,例如 Web 服务)。
事实上,大部分代码可以而且应该放在 http 文档根目录之外。
然后,如果您的 http 服务器因某种原因配置错误并开始提供 PHP 代码而不是执行 PHP 代码,那么他们将看到的是:
<?php
include "myconfig.php";
include "myapp.php";
| 归档时间: |
|
| 查看次数: |
365 次 |
| 最近记录: |