Есть ли способ, которым злоумышленник может просмотреть исходный код в php-скриптах на моем сервере?
У меня есть сервер под управлением Debian OS, и у меня есть множество сценариев .php, расположенных в общедоступном каталоге apache по умолчанию.
Это определенно не самый безопасный способ сделать это, но у меня есть скрипт, который будет выполнять все, что $ _REQUEST [«sql»] говорит в базе данных mysql.
Вы можете запросить это, только если у вас есть правильный пароль, который сравнивается в тексте в скрипте.
Мой вопрос: может ли злоумышленник как-то просмотреть этот скрипт и найти пароль, а затем выполнить SQL-команды по желанию?
Решение
Это возможный? Конечно, если ваш сервер взломан, это реальная возможность. Тем не менее, на самом деле вполне нормально включать учетные данные в файлы PHP (например, WordPress), даже если это не самый безопасный способ.
Однако то, о чем вы говорите, представляет собой ненужную угрозу безопасности. С точки зрения аутентификации, вы должны использовать односторонний хеш для пароля, чтобы в случае взлома PHP-файлов злоумышленник все равно не смог их использовать. Проверять, выписываться функция password_hash (..).
Кроме того, вы никогда не должны выполнять операторы SQL, отправленные непосредственно пользователем. Если вы собираетесь выполнять административные задачи, используйте либо Adminer, либо PhpMyAdmin. Операторы SQL должны генерироваться на стороне сервера используя подготовленные заявления чтобы избежать пользовательского ввода информации.
Другие решения
Других решений пока нет …