Как мне защитить файл подключения к бд?

Question

[sergekrivelevich]

У меня есть сайт, на котором есть система авторизации (естественно с подключением к БД MySQL). Файл для подключения никак не защищён от сторонних пользователей, и на этот файл можно попасть с помощью обычной ссылки. Как мне его защитить?

Comments

[Everything_is_bad]

на этот файл можно попасть с помощью обычной ссылки.

почему вдруг такое стало возможным или зачем ты так сделал?

[Adamos]

Вариант 1, устаревший. В Апаче запретить доступ к этому файлу или к группе файлов.
Вариант 2, современный. Не класть этот файл внутрь папки с публичным содержимым.

[sergekrivelevich]

Everything_is_bad, Файл называется connect.php и лежит в папке с остальными php-скриптами. К этой папке есть доступ, и я не могу его запретить, ибо система авторизации при переходе на один из скриптов будет так же получать ошибку 403.

[sergekrivelevich]

Adamos,

К этой папке есть доступ, и я не могу его запретить, ибо система авторизации при переходе на один из скриптов будет так же получать ошибку 403.

[Adamos]

sergekrivelevich, и что, собственно, вы видите на странице, открыв этот файл "с помощью обычной ссылки"?

[Everything_is_bad]

sergekrivelevich,

Файл называется connect.php и лежит в папке с остальными php-скриптами.

и его содержимое видно при переходе на него по ссылке?

[defmin]

Adamos,

и что, собственно, вы видите на странице, открыв этот файл "с помощью обычной ссылки"?

зря, пусть бы помучился чуток

Answer 1

[Алексей Уколов]

Такие файлы кладут вне директории, которую обслуживает веб-сервер. Примерно так:

./db.php
./public/index.php

В db.php вы подключаетесь, реквизиты храните в нём же или в .env-файле рядом (или ещё как-то), а в настройках веб-сервера в качестве корневой директории указана public. Тогда через него невозможно будет обратиться к "секретному" файлу.
(есть ещё всякие уязвимости, которые делают такую защиту всё же не стопроцентной, но они далеко за рамками данного вопроса).

Comments

[Adamos]

Вообще-то ситуация, когда по ссылке открывают /public/db.php, тоже не должна давать открывшему ну никакой секретной информации ;)

[sergekrivelevich]

Adamos, а содержимое этого php-файла никак нельзя посмотреть?

[Adamos]

sergekrivelevich, ну, вот вы же - смотрите. Значит, можно ;)

[sergekrivelevich]

К сожалению, теперь у меня вылазит ошибка 500 :(

Answer 2

[Олег]

<?php
$mysecret = 'supersecret';

Минимальный совет из "PHP Правильный путь" звучит как храните свои конфиги хотя бы в виде php файлов.
Предположим, что мы сохранили такой скрипт в корне www.
При правильной настройке сервера посетитель увидит пустой экран по урлу //your.site/script.php
так как в нашем файле нет команд вывода.
В первой строке полный синтаксис, в варианте "<?" может случиться ситуация показа исходного текста, если сшорт таги отключены. И остается риск того, что php отвалиться и будет показываться исходный код.

Обще принятой практикой сейчас считается подход, когда все исходные файлы лежат выше диретории www рут.
В самой директории только один скрипт точки входа (index.php)

Ваши пароли скорее утекут по другой причине, чем из-за того, что к скрипту обратяться на прямую.

Вы используете eval c данными от пользователя или на сайте можно загружать через форму файлы.
На шаред хостинге ошиблись с разделением прав для ftp.

У Вас используются системы контроля версий кода и конфиги не добавлены в игнорируемые.