我有一个noob问题。
假设我想开发一个管理面板,它只有一个管理员。
因此,我不想从数据库信息中验证管理员,而是从脚本中执行此操作。我的意思是我将为变量分配管理员用户名和密码,并将其与给定的用户名和密码相匹配。
所以问题是哪一个更安全,为什么? 1.匹配数据库中的用户名和密码? 要么 2.匹配脚本中预定义变量的用户名和密码?
答案 0 :(得分:0)
数据库很好,所以你可以在每次需要时从admin更新密码,但你应该使用PDO而不是使用手动mysql_query,因为PDO从sql注入是安全的:)
答案 1 :(得分:0)
虚空比另一个更安全。这一切都取决于它是如何存储的。
通常我已经设置了数据库连接,所以使用它几乎没有头脑。
如果您的凭据位于文档根目录中的文件中。然后知道文件名的人可以直接转到该文件。如果您将凭据放在.php文件中,如果在某个时候Web服务器配置被搞砸到没有调用php解析器并且文件是原始发送的,那么它仍然可能会受到损害。因此,为了防止这种情况,我将该信息放在文档根目录之外。就像你应该将数据库凭证放在文档根目录旁边一样。
另一种选择是通过.htaccess保护您的应用程序。