在PHP proyect中有这个结构:
htdocs/
project_name/
conf/
db_info.xml
html/
index.php
index.php正在读取db_info.xml
此项目的所有者和组是为其创建的。
DOCUMENT_ROOT是htdocs / project_name / html /
使用DB信息和凭据(db_info.xml)设置644文件是不安全的吗?
对所有人进行阅读权限可能是一个安全问题,或者让DOCUMENT_ROOT中名为“conf”的文件夹不应该成为问题?
答案 0 :(得分:2)
我个人认为您不需要向所有用户授予读取权限,因此请不要给予他们。
对所有人进行阅读权限可能是一个安全问题,或者让DOCUMENT_ROOT中名为“conf”的文件夹不应该成为问题?
如果文件已获得644许可,则必须阅读您的数据库。
使用.xml作为“数据库”它不是最好的安全解决方案,只有在你不能做任何事情时才使用这个解决方案。请记住使用强哈希算法(bcrypt或argon2)和盐
答案 1 :(得分:1)
这取决于您的网络服务器配置 - 如果您不允许网络服务器公开阅读和提供conf目录 - 应该不是问题。但通常你应该考虑将配置移出公共文件夹。