背景:我正在创建一个网站(在典型的LAMP环境中),它通过基于PHP / XML的API在不同的域(但在同一服务器上)连接到数据库。这样做的原因是我不希望在我正在处理的域上有数据库连接细节。为了使其正常工作,我为该域启用了“allow-url-fopen”设置。
我的问题是,由于这是我知道如何做到的唯一方法,有没有人知道更好,更安全,更安全的方法来实现这一结果?
答案 0 :(得分:0)
如果两个域都位于同一服务器上,您不需要使用HTTP连接到MySQL,您仍然可以在本地登录MySQL服务器,为您的域存储连接信息提供正确的凭据。
但它并没有真正起到很好的安全性作用,就好像你的连接细节甚至位于同一个域上一样,它不是一个安全循环漏洞,因为只要你的web服务器是你的PHP页面就不会是任何原始形式的服务器配置为使用PHP罚款。您可以并且可能应该将它们保留在同一个域中。事实上,拥有一个可公开访问的数据库连接API是一个更大的漏洞