我被告知在PHP包含内部建立数据库连接是不安全的。例如,如果我有一个登录页面并在页面顶部添加“include('process.php')”,那么它是不安全的?
答案 0 :(得分:1)
如果您将密码存储在PHP文件中,那么这只是不安全的。它们应该在Web根目录之外声明。话虽如此,缺乏安全性并不是因为include()功能的使用。
答案 1 :(得分:1)
例如,如果我有一个登录页面并在页面顶部添加了一个“include('process.php')”,那是不安全的?
没有
也许那个告诉你这个人正在谈论其他事情的人 - 比如使用来自GET参数的动态值包含文件,或者使用远程http://包含,或者@AlienWebguy提到,包含密码包括在web根目录中。但使用包含本身并不是不安全的。
答案 2 :(得分:0)
本身,不,它不是不安全的。它在包含中的实现方式当然是另一回事。
答案 3 :(得分:0)
这就是我一直这样做的方式。我确保include包含在具有开放权限的不同目录中,并且您写入的目录已锁定permisions。希望这是有道理的。
答案 4 :(得分:0)
这个问题过于宽泛,无法从任何人那里得到一个好的答案。简短的回答是否定的,包含连接到数据库的文件没有任何内在的不安全感。但是,如果您编写的代码编写不正确,那么执行此操作可能是不安全的。
答案 5 :(得分:0)
由于使用“include('process.php')”与将'process.php'粘贴到另一个文件的代码中完全相同,本身不应该是安全问题。不安全可能在您的代码中,而不是您使用“包含”的事实。事实上,由于重用,它可能会提高代码的安全性。