PHP и MySQL Security

Question

Я использовал PHP для подключения к MYSQL. У меня есть включение, куда я помещаю информацию базы данных, информацию о соединении и т. Д., И я включаю это было необходимо.

Что мешает кому-либо сканировать мой сайт, находить его включенным и подключаться к моей базе данных? Я обычно ограничиваюсь несколькими привилегиями в MySQL, например, пользователем, который может просто вставлять / обновлять данные. но у меня есть пользователь-администратор, который имел полный контроль.

Какова наилучшая практика для защиты информации о моем соединении?

Спасибо

1009 * Джейсон *

Answer 1

Храните включение в папке, не входящей в webroot. В случае, если кто-то получит доступ веб-сервера к вашему сайту и увидит PHP в файловой системе, включенные и важные данные не находятся в корне сети. Многие хаки могут получить доступ только там, где находятся сайты. Убедитесь, что вашего исходного каталога PHP там нет.

Answer 2

Если ваш сервер настроен правильно, PHP-код выполняется PHP, и в браузер отправляется только вывод, а не сам исходный код. Поэтому при просмотре / сканировании вашего веб-сайта никогда не будет обнаружено содержимое файлов PHP, то есть учетные данные базы данных.

Конечно, если ваш сервер не настроен правильно, это не обязательно должно быть правдой. (но в этом случае вы должны это исправить!)

Answer 3

Что вы используете для веб-сервера? Если это Apache или аналогичный, вы можете разместить информацию о БД вне корня документа.