使用PHP这种引用数据库信息的方法是否安全?

时间:2013-09-25 06:47:32

标签: php mysql database .htaccess

在我连接到我的数据库的任何文件中,我在文档的开头有这一行:

include ('database/data.php');

完全由

组成
$database = mysqli_connect(host,Username,Password,Table);

然后在'database'文件夹中,我有一个.htaccess文件:

<files data.php>
order allow,deny
deny from all
</files>

到目前为止,它一直运行良好,但我需要知道 - 这是安全吗?

3 个答案:

答案 0 :(得分:2)

只要您不打印/回显数据库凭据,技术上人们就无法掌握它们。

答案 1 :(得分:0)

截至目前,您已安全,但要确保所有其他文件均已从 RFI 等常见攻击中过滤掉, {{1 }} 即可。如果存在 SQL Injection (远程文件包含)攻击(例如在您的上传图片/上传文件(表单)中),则攻击者可以上传 {{1} shell并删除所有文件。

答案 2 :(得分:0)

它仍然位于您的网络服务器的document_root之下,因此如果您的网络服务器配置出现问题,它可能会吐出您的凭据。 使用此设置,如果PHP停止并开始吐出原始文本,则不会出现问题。但是如果网络服务器失败,例如.htaccess没有得到正确的解析,它将是易受攻击的。

最好在公共和私有部分拆分目录。后者将保存您的数据库凭据。