过去,我已将数据库凭据(用户名,密码)存储在另一个文件中(在Web目录之外),并将其包含在PHP页面中以与数据库建立连接。由于我已经开始通过AJAX进行大量的数据库交互,所以我必须改变我的工作方式,因为AJAX脚本不能include web目录之外的脚本。
为了处理AJAX数据库连接,我需要一种很好的安全方法来获取AJAX脚本的用户名和密码数据。什么是最好的(安全和方便)方式?如果我只是将我的数据库凭证文件放在web目录中,有什么权限给它?这是好主意还是坏主意?
非常感谢!
**编辑**
显然没有问题,包括web根目录以外的文件,我错了。非常感谢,这可能会改变我的想法...: - /
**编辑2 **
确实改变了我的一切,我能够包含我在所有页面中使用的数据库配置文件(位于Web根目录之外),所以这很棒!
答案 0 :(得分:2)
如果你正在使用AJAX,你应该只调用一个php页面,例如insert.php。在这个PHP中你可以包含你想要的任何PHP(甚至在根文件夹之外)。所以你可以在insert.php
中包含db-credentials.php答案 1 :(得分:1)
如果你不反对改变一点,我认为你应该使用你的后端与数据库连接,只需使用你的ajax将这些接口命中到数据库。这样你就不必拥有“Store db creds”客户端
或者,如果您绝对必须保存客户端,那么您应该找到一种方法来减少对保存在会话cookie中的哈希/盐渍密钥的访问