我正在使用flatfile数据库(必须)并在文件夹上放置一个apache basic_auth,我将通过PHP fopen()访问该文件夹,其中包含url中包含的用户名和密码,例如:< / p>
fopen("http://username:password@domain.com/protectedDir/file.txt","r");
我只是想知道这对于窥探是多么安全,我知道POST并且用户可以窥探任何其他请求,但是用户是否能够看到{{1}的网址请求?
答案 0 :(得分:2)
默认情况下,用户看不到该URL。但是,它可能会显示在错误消息中,例如,当domain.com暂时无法访问时。禁止向用户显示错误。
其次,建议使用HTTPS发送通过网络加密的用户名和密码,而不是明文。
编辑:PHP在错误消息中隐藏用户名和密码:
PHP警告:fopen(http://...@domain.com/protectedDir/file.txt): 无法打开流:HTTP请求失败!找不到HTTP / 1.0 404