alexandrknyazev13071995
@alexandrknyazev13071995

Нужно ли волноваться по поводу указания пароля в php-файле?

Новичок совсем в этом деле, не знаю чего пугаться чего нет. Ображаюсь к базе данных:
mysql_connect("localhost", "login", "password") or die (mysql_error ());

Это нормально что я в login и password пишу логин и пароль для подключения базы данных? Вроде как кодp php из браузера посмотреть нельзя, но может я чего-то не знаю.
  • Вопрос задан
  • 358 просмотров
Пригласить эксперта
Ответы на вопрос 6
@r_zaycev
Вообще-то можно и поволноваться.

Может быть случай мисконфига niginx + backend (может быть бывают и случаи отвала бэкенда, но такого я не встречал, но чем черт не шутит), когда php-скрипты не будут корректно обработаны бэкендом и, вместо нормального процесса интерпретации, скрипт будет отдан плейн-текстом клиенту.

Чтобы минимизировать потенциальный урон от такого следует:
  • сделать единую точку входа в приложение, (index.php в public_html и не более того);
  • скрипты движка (фремворка), конфиги и прочее, к чему клиент в любом случае не должен иметь доступ, вынести за пределы public_html.
Ответ написан
Комментировать
Winsik
@Winsik
сис.админ, недопрограммист :)
как вариант можно выносить все константы , типа имени и паролей в отдельный файл и цеплять его по мере необходимости . Тут появляется удобство поделиться куском кода не замазывая строчки с паролями/токенами
Ответ написан
Комментировать
Выносите данные авторизации всегда в файл конфигурации.
Проще будет при переносе ресурса куда-либо.
Что касается внесения их в файлы PHP, известно миллион ситуаций когда из-за неправильного конфигурирования web-сервера, пользователям отдавался файл PHP в исходном текстовом виде. Оно вам надо?
Ответ написан
zooks
@zooks
Frontend
Если для .php-файлов настроен хендлер, то нормально.
Ответ написан
archakov06
@archakov06
Frontend-разработчик (ReactJS)
Не слушай их, они тебе несут бессмысленные советы. Все эти варианты, подобны тому, как укрываться зонтом от пуль. Твой PHP код никто из браузера не посмотрит и таким принципом работают очень много сайтов.

Некоторые конечно хранят все эти данные в отдельный конфигах (к примеру config.php). Но если взломают твой FTP или получат доступ к хостингу, то тогда уже не спастись.

Итог: Не парься, спокойно продолжай пилить свой код и не слушай эти бесполезные советы выше :) Они не спасут твой сайт.
Ответ написан
@arturka_v_10
.htaccess закрой прямое обращение к файлу
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы