我对这些脚本需要什么权限才能让网站用户获得功能,但无法在脚本中读取密码?
答案 0 :(得分:4)
最好将配置文件存储在文档根目录之外,以防你的web服务器或php失败并吐出原始文本(注意:这种情况极不可能)。
但是,导航到您网站的用户通常无法读取PHP脚本的内容。
答案 1 :(得分:0)
假设它们位于Web目录中,导航到该文件只会导致其输出显示给用户,因此无需设置特殊权限即可安全使用。如果目录可以通过其他方式访问(例如ftp),您可能需要重新考虑允许用户访问该目录中文件的原因。
答案 2 :(得分:0)
创建一个文件/路径/到/ secret-stuff只有root才能读取(root而不是nobody或apache)
SetEnv DB_USER“myuser” SetEnv DB_PASS“mypass”
将此文件包含在apache的配置目录中
或使用
将其包含在httpd.conf中包含“/ path / to / secret-stuff”
答案 3 :(得分:0)
首先建议密码应加密。如果没有找到您的加密方法(即分析您的php源代码),一位访问密码文件的攻击者将无法使用它。
但是如果您在将密码存储在安全位置时遇到问题,另一个选择是配置数据库服务器的最大限制并放弃密码: - 只能从网络服务器登录 - 无法改变架构 - 只能使用1个数据库 最后: - 无法删除记录 - 无法更新记录 - 仅限于必要的表格。 - 限制每秒的请求数。
这比普通用户的登录通行证要安全得多,通用用户可以完全控制服务器上的任何数据库,并从远程位置或LAN上的其他计算机进行连接。