Нужно ли беспокоиться о пароле в mysql_connect в php?
Когда вы записываете код подключения к базе данных, не может ли кто-нибудь просмотреть мои имя пользователя и пароль в базе данных? Разве они не могли тогда подключиться и изменить мою базу данных? Просто кажется странным вводить мое имя пользователя и пароль и не быть зашифрованным.
mysql_connect(localhost, user1, correcthorsebatterystaple)
Я знаю, что источник недоступен для просмотра, когда вы щелкаете правой кнопкой мыши по источнику. Но если кто-то создал быструю html-страницу с помощью ahref = mywebsite.com / connect_file.php, тогда он щелкнет правой кнопкой мыши и загрузит, чтобы просмотреть мой код PHP вместе с моим именем пользователя и паролем, верно?
Решение
PHP выполняется на сервере и выводит HTML клиенту. Таким образом, клиент никогда не сможет просматривать исходный код PHP. Так что вам не нужно беспокоиться о безопасности ваших паролей в этих файлах
Другие решения
Ваш сервер видит все запросы (так что даже ahref один в вашем примере) к файлу, который запрашивает файл php.
Ваш сервер сначала попросит PHP проанализировать файл, и, если он настроен правильно, никогда не показывать код.
Кто-то, имеющий прямой (например, ssh) доступ к вашему серверу или вашему коду (ftp, github и т. Д.), Сможет прочитать ваш код и ваш пароль. Избегайте этого любой ценой.
Вы можете поместить вещи, которые вам нужны, за пределами вашего каталога www-root (например, / var / www). Даже если что-то не так, изменения, которые будут прочитаны в вашей конфигурации, будут меньше, если они находятся в отдельном месте. Используйте включение, чтобы включить его. Это будет «работать» только в том случае, если файл анализируется, поэтому, если он НЕ анализируется, вы его не включите, поэтому он не будет показан
Если бы пользователь загружал ваш connect_file.php прямо в браузер, он получал бы файл PHP, представленный в виде HTML, который, скорее всего, пуст. Нажатие кнопки «Сохранить как» сохранит локальную копию пустой HTML-страницы. Поскольку PHP отображается на сервере, а затем отправляется в браузер пользователя, они видят только результаты, а не источник.
Если вы по-прежнему обеспокоены этим, вы всегда можете сохранить файл connect_file.php в месте, недоступном для Интернета, и добавить его из другого файла. В случае, если процесс PHP прервался или код PHP был каким-то образом обработан в сыром виде, это еще больше помешало бы кому-либо просматривать ваш код PHP, содержащий пароль.