我怀疑如果我在PHP文件中指定用于连接目的的MySQL密码。任何用户都可以通过从我的服务器下载PHP来查看该密码吗?
我正在尝试使用Phonegap开发Android应用程序,其中使用PHP> JSON解析从服务器检索一些数据。在这种情况下,我会松开我的MYSQL密码吗?
答案 0 :(得分:1)
如果您将文件另存为.phps,则会下载源文件。否则,如果你把它保存为你很可能拥有的.php,它会尝试将页面加载为.html,这只会显示php文件的内容。
答案 1 :(得分:0)
如果您正确地创建了站点并且不允许用户执行代码,那么它是安全的。在用户输入中使用eval()等功能会降低安全性 - 您可以通过eval运行echo $dbpassword;,这将打印出变量$dbpassword。
另一个警告是,如果您允许用户将文件上载到您的服务器,并且这些文件是可执行的。这意味着用户可以在您的站点上运行自己的php脚本,这样他们就可以包含您的数据库连接文件,然后回显变量。
如果您持怀疑态度,可以将数据库连接文件放在公用文件夹之外,并将其包含在公用文件夹中的文件中。
除此之外,它是安全的。