我使用dbinfo.php输入我的所有MySQL详细信息:db名称,用户名,密码,主机等。然后每当我想连接到数据库时,我只使用include“dbinfo.php”;在那个页面上。
如果有人发现dbinfo.php,那么该人不应该只是将其包含在他的代码中以连接到我的数据库,然后在我的数据库中存储不同的查询/删除内容吗?
我对此有点新鲜,但使用单独的文件进行连接感觉有点不安全。如果不好,请告诉我。
答案 0 :(得分:0)
从那时起我一直在使用它。我通常只是将扩展文件从* .php更改为* .inc,但这只适用于我自己的组织。 为了安全起见,您甚至可以将文件保存在服务器上的受保护文件夹中。
我用以下代码调用我的文件:
require_once('_system/inc/_db_connection.inc');
了解一下require_once和include之间的区别。
如果您想阻止用户直接访问您的文件:
// Redirects the user when trying to access this file.
if(preg_match('/_db_connection.inc/i', $_SERVER['PHP_SELF']) ) {
header('location: http://www.something.com');
die();
}
答案 1 :(得分:0)
您的设置没有什么特别不安全的地方。信息仅在服务器上公开,您必须假设该信息是安全的。你需要担心的是客户端黑客攻击。