我正在使用我的网站上的表单使用PEAR邮件功能发送电子邮件。该电子邮件将通过gmail发送,如此处所述 - http://www.phpmaniac.net/wiki/index.php/Pear_Mail
因此我需要包含以下内容:
<?php
$smtp_params["host"] = "smtp.gmail.com";
$smtp_params["port"] = "25";
$smtp_params["auth"] = true;
$smtp_params["username"] = "user@gmail.com";
$smtp_params["password"] = "pass";
?>
将我的用户名和密码放在脚本中是否安全?显然你不能使用'View Source'看到这样的服务器端脚本,但是你能通过网络剪辑器或其他东西获取源文件并以这种方式读取脚本吗?感谢
答案 0 :(得分:1)
如果有人意外地在你的apache上解密php解析,你的文件将作为纯文本提供,所以我喜欢在我的docroot之外的配置文件中保存密码...以防万一。有几次为apche构建一个新的php模块我忘了将php.conf文件复制到我的httpd / conf.d / direcoty并启动没有php的apache。我
理论上,任何不安全的连接都可以被窥探。但是,在这种情况下,它需要在您的服务器和gmails smtp服务器之间截获。此外,即使您已经将电子邮件发送到邮件服务器,您也无法确定他们是否会安全地连接到邮件服务器,或者有意的收件人会安全地检查他们的电子邮件帐户。
在这种情况下,您只关心您的基本身份验证被窥探。使用gmails secure ssl connection
假设所有电子邮件通信都不安全,请确保安全。 (除非你加密消息)
答案 1 :(得分:0)
你当然应该使用SSL / TLS进行连接 - 只是因为在未加密的频道上以明文形式发送密码是一个坏主意。
PHP脚本中的登录数据是安全的,只要PHP解释器正常工作且PHP脚本中没有允许攻击者查看PHP文件源代码的安全漏洞。
对于错误配置导致PHP源代码可见的风险,一个简单的改进就是将配置文件存储在文档根目录之外。