[請益] 連接資料庫的安全性

作者Lussica (...)

看板PHP

標題[請益] 連接資料庫的安全性

時間Sun Apr 19 23:20:54 2015

小弟新手, 最近正在練習撰寫會員系統, 目前看的範例大多是寫個config.php 來連接 MySQL, <?php $db_host = 'localhost'; $db_user = 'id'; $db_pass = 'pw'; $db_name = 'test'; ?> 之後再用 $con = mysql_connect($db_host, $db_user, $db_pass); 做連接... 做作業沒問題, 可是若一旦要放到網路上, 有心者只要下載config.php就可以知道我資料庫的帳號和密碼了, 要怎麼避免這種情形了? 先謝謝大家了~~~ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.163.152.100 ※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1429456857.A.0F0.html

推 shadowjohn: php 的內容正常沒echo下，只是個看不到的變數 04/19 23:25

→ shadowjohn: 不然就是要把資料庫設定檔移到網頁webroot外層 04/19 23:25

→ shadowjohn: 有些安全掃碼軟體會以變數名稱如password當風險處理 04/19 23:26

→ shadowjohn: db 的連線不可以予許對外，不要讓人直接連 04/19 23:27

→ shadowjohn: phpmyadmin之類的東西用完就要移走~ 04/19 23:28

→ carylorrk: 也可以用 ssl + rsa key 連 04/20 01:08

→ MOONRAKER: 你那是什麼httpd可以讓人下載到config.php？想太多 04/20 02:18

推 GALINE: 不正常，有機會，例如弄壞.htaccess，或ftp被鑽.. 04/20 09:56

→ GALINE: 這算防禦縱深，至少不會做錯一件事就完蛋 04/20 09:58

→ GALINE: 不然..db只能從localhost登入，幹嘛怕密碼洩漏 (別這樣 04/20 10:04

→ TobyH4cker: 至少，以正常的情況來講，是原Po的觀念有問題 04/20 11:24

→ MOONRAKER: 這種大概比較可能 http://goo.gl/vGZRRE 04/20 12:22

→ TobyH4cker: XD 04/20 12:25

→ Lussica: 謝謝各位大大提點, 小弟有稍微清楚了點, 繼續學習消化中~ 04/20 23:33

推 rockmanalpha: 最保險就是密碼檔案放在WebRoot上層盡量不要用 04/21 10:16

→ rockmanalpha: Web的DB管理系統如PHPMyAdmin DB我覺得絕對應該只能 04/21 10:17

→ rockmanalpha: localhost連接用SFTP不要用FTP 04/21 10:18

→ alpe: http://imgur.com/eO7yco3 有時候不是你蠢的問題 04/21 15:16

推 hua1980: 可用微盾編碼 http://www.vidun.com/vwsoft-vwphpcodeloc 04/25 10:17

→ hua1980: k-download.html 04/25 10:17