在我连接到我的数据库的任何文件中,我在文档的开头有这一行:
include ('database/data.php');
完全由
组成$database = mysqli_connect(host,Username,Password,Table);
然后在'database'文件夹中,我有一个.htaccess文件:
<files data.php>
order allow,deny
deny from all
</files>
到目前为止,它一直运行良好,但我需要知道 - 这是安全吗?
答案 0 :(得分:2)
只要您不打印/回显数据库凭据,技术上人们就无法掌握它们。
答案 1 :(得分:0)
截至目前,您已安全,但要确保所有其他文件均已从 RFI
等常见攻击中过滤掉, {{1 }} 即可。如果存在 SQL Injection
(远程文件包含)攻击(例如在您的上传图片/上传文件(表单)中),则攻击者可以上传 {{1} shell并删除所有文件。
答案 2 :(得分:0)
它仍然位于您的网络服务器的document_root
之下,因此如果您的网络服务器配置出现问题,它可能会吐出您的凭据。
使用此设置,如果PHP停止并开始吐出原始文本,则不会出现问题。但是如果网络服务器失败,例如.htaccess没有得到正确的解析,它将是易受攻击的。
最好在公共和私有部分拆分目录。后者将保存您的数据库凭据。