Question

我在GoDaddy上托管了一个PHP / MySQL网站。我试图从网站上删除所有安全漏洞。

要连接到我的数据库，我有一个“Connect.php”文件，我将其包含在所有必需的PHP文件中。它由以下代码组成：

<?php
//Connect To Database
$hostname='xyz.hostedresource.com';
$username='username';
$password='password';
$dbname='dbname';
?>

我理解解决使用硬编码密码的常见修复方法是将密码存储在webroot文件夹之外的配置文件中。但是，使用GoDaddy共享主机，我无法访问webroot文件夹之外的任何内容。在这种情况下，有没有人有任何建议来解决这个CWE？

Answer 1

使用PHP时，问题是（或可能）解释器停止解释，文件作为纯文本提供。

在你的情况下，也许这就是你可以去的地方：

将“隐藏”文件放入文件夹中，并使用.htaccess和其他Apache指令阻止访问该文件夹。这实际上并不是在一个单独的文件夹中（因为Apache及其配置正在为您管理安全性）。

和