我一直在阅读您应该始终将数据库凭据存储在文档根目录之外,因为通常您将它们设置为db.inc或类似的东西。
我能理解这一点,自然它很有道理。
我不明白为什么你要把文件变成一个你需要设置apache来隐藏的文件,或者你需要把它放在一个安全的位置。
制作它有什么问题,比如说db.php - 然后apache知道首先执行脚本并返回输出(在大多数情况下可能是空白的。)
也许我是愚蠢的,并且缺少固有的安全漏洞,但是将您的详细信息存储在.php文件中是否存在任何问题?我的意思是Wordpress和其他主要的开源PHP应用程序设法逃脱它,但这是因为他们不能让他们的脚本与www之外的文件夹对话,或者因为它和其他任何方法一样安全吗?
答案 0 :(得分:2)
也许我是愚蠢的,并且缺少固有的安全漏洞,但是将您的详细信息存储在.php文件中是否存在任何问题?
Apache配置中的一个小小问题,文件开始以原始方式提供,而不是由PHP引擎处理。
我的意思是Wordpress和其他主要的开源PHP应用程序设法逃脱它,但是这是因为他们不能让他们的脚本与www之外的文件夹对话,或者因为它和其他任何方法一样安全吗? / p>
他们接受增加的风险以增加便利性。
答案 1 :(得分:1)
将包含(数据库)凭据的文件存储在文档根目录之外总是一个好主意。 比如,升级Apache,但忘记用PHP更新配置。文档根目录中的任何文件都可以在不进行解析的情况下下载。
Wordpress,Joomla,phpBB等都是可移植的。也就是说,驻留在一个文件夹中。