我正在托管一个php文件,它回显我存储在我的mysql数据库中的信息 我计划在代理php文件中分发文件的名称(对于跨域ajax应用程序) 它将以xml格式获取文本。
我需要注意什么,以便我的服务器/数据库不被黑客入侵? 我关闭索引(如果你可以下载php文件,你会得到我的连接信息)。
我无法使用htaccess阻止任何人,因为可能会有随机服务器访问它。 那么除了设置文件的权限之外,我还需要做什么?
答案 0 :(得分:2)
您应该了解SQL注入漏洞 - 可能只允许从localhost访问数据库 - 这将有助于解决整个安全问题。 (http://en.wikipedia.org/wiki/SQL_injection)
答案 1 :(得分:2)
如果您只是从数据库中吐出信息而实际上没有允许更改发生,那么我真的没有看到风险。只需确保localhost是唯一可以与您的数据库通信的东西。
即使您有目录列表,PHP也会在Web服务器级别运行。如果有人下载了文件,则会处理该文件,因此您的连接信息不会出现在文件中;只有处理过的信息才会。下载PHP文件而不进行处理的唯一方法是将文件扩展名更改为.PHPS。
换句话说,我认为你的当前配置会很好,只需进行标准的SQL注入检查。
答案 2 :(得分:1)
您需要注意SQL和路径注入。
答案 3 :(得分:1)
我确保它所使用的SQL用户只具有SELECT权限,或者是必需的最低权限。