当将连接代码写出到数据库时,是否有人可以查看我的数据库用户名和密码?然后,他们无法连接和更改我的数据库?输入我的用户名和密码而不加密似乎很奇怪。
mysql_connect(localhost, user1, correcthorsebatterystaple)
我知道当您右键单击查看源时,源代码无法查看。但是如果有人用ahref = mywebsite.com / connect_file.php创建了一个快速html页面,那么他们右击并下载他们可以查看我的PHP代码以及我的用户名和passowrd,对吗?
答案 0 :(得分:5)
PHP在服务器上执行并将HTML输出到客户端。所以客户端永远不能查看PHP源代码。因此,您不必担心这些文件中的密码安全性
答案 1 :(得分:0)
您的服务器会将所有请求(即使您的示例中的ahref一个)视为要求提供php文件的请求。
您的服务器将首先要求PHP解析文件,如果设置正确,则不会以任何方式显示代码。
直接(例如ssh)访问您的服务器或您的代码(ftp,github等)的人将能够读取您的代码以及您的密码。不惜一切代价避免这种情况。
您可以在www-root(例如/ var / www)目录之外放置您需要注意的内容。即使错误,如果它们位于不同的位置,您的配置将被读取的更改也会更小。使用include来包含它。如果文件被解析,这只会“起作用”,所以如果它没有被解析,你将不会包含它,所以它不会被显示
答案 2 :(得分:0)
如果用户要将connect_file.php直接加载到浏览器中,他们会将PHP文件呈现为HTML,这可能是空白的。单击“另存为”将保存空白HTML页面的本地副本。因为PHP在服务器上呈现,然后发送到用户的浏览器,他们只看到结果,而不是源。
如果您仍然担心这一点,您可以随时将connect_file.php存储在Web无法访问的位置,并将其包含在另一个文件中。如果PHP进程中断或PHP代码以某种方式提供原始服务,这将进一步阻止某人查看包含密码的PHP代码。