PTT數位生活區 / PHP

[請益] 連接資料庫的安全性

看板PHP作者 (...)時間10年前 (2015/04/19 23:20), 編輯推噓4(4016)
留言20則, 9人參與, 最新討論串1/2 (看更多)
小弟新手, 最近正在練習撰寫會員系統, 目前看的範例大多是寫個config.php 來連接 MySQL, <?php $db_host = 'localhost'; $db_user = 'id'; $db_pass = 'pw'; $db_name = 'test'; ?> 之後再用 $con = mysql_connect($db_host, $db_user, $db_pass); 做連接... 做作業沒問題, 可是若一旦要放到網路上, 有心者只要下載config.php就可以知道我資料庫的帳號和密碼了, 要怎麼避免這種情形了? 先謝謝大家了~~~ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.163.152.100 ※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1429456857.A.0F0.html
04/19 23:25, , 1F
php 的內容正常沒echo下,只是個看不到的變數
04/19 23:25, 1F
04/19 23:25, , 2F
不然就是要把資料庫設定檔移到網頁webroot外層
04/19 23:25, 2F
04/19 23:26, , 3F
有些安全掃碼軟體會以變數名稱如password當風險處理
04/19 23:26, 3F
04/19 23:27, , 4F
db 的連線不可以予許對外,不要讓人直接連
04/19 23:27, 4F
04/19 23:28, , 5F
phpmyadmin之類的東西用完就要移走~
04/19 23:28, 5F
04/20 01:08, , 6F
也可以用 ssl + rsa key 連
04/20 01:08, 6F
04/20 02:18, , 7F
你那是什麼httpd可以讓人下載到config.php?想太多
04/20 02:18, 7F
04/20 09:56, , 8F
不正常,有機會,例如弄壞.htaccess,或ftp被鑽..
04/20 09:56, 8F
04/20 09:58, , 9F
這算防禦縱深,至少不會做錯一件事就完蛋
04/20 09:58, 9F
04/20 10:04, , 10F
不然..db只能從localhost登入,幹嘛怕密碼洩漏 (別這樣
04/20 10:04, 10F
04/20 11:24, , 11F
至少,以正常的情況來講,是原Po的觀念有問題
04/20 11:24, 11F
04/20 12:22, , 12F
這種大概比較可能 http://goo.gl/vGZRRE
04/20 12:22, 12F
04/20 12:25, , 13F
XD
04/20 12:25, 13F
04/20 23:33, , 14F
謝謝各位大大提點, 小弟有稍微清楚了點, 繼續學習消化中~
04/20 23:33, 14F
04/21 10:16, , 15F
最保險就是密碼檔案放在WebRoot上層 盡量不要用
04/21 10:16, 15F
04/21 10:17, , 16F
Web的DB管理系統如PHPMyAdmin DB我覺得絕對應該只能
04/21 10:17, 16F
04/21 10:18, , 17F
localhost連接 用SFTP不要用FTP
04/21 10:18, 17F
04/21 15:16, , 18F
有時候不是你蠢的問題
04/21 15:16, 18F
04/25 10:17, , 19F
04/25 10:17, 19F
04/25 10:17, , 20F
k-download.html
04/25 10:17, 20F
更多 Lussica 的文章
文章代碼(AID): #1LCyVP3m (PHP)
討論串 (同標題文章)
以下文章回應了本文
完整討論串 (本文為第 1 之 2 篇):
排序: 最新先 | 最舊先 | 留言數
在新視窗開啟完整討論串 (共2篇)
PHP 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 Lussica 的文章
文章代碼(AID): #1LCyVP3m (PHP)