Насколько защищены файлы php от просмотра?

Question

[Anonymous85966]

Здравствуйте. Имеется сайт, в php скриптах которого хранится пароль от базы данных. Мне известно, что пользователь не может просто взять и прочитать содержимое php файла, воспользовавшись, например, инструментами веб разработчика, поскольку php файлы скрываются от просмотра.Вопрос в том, насколько защищен php файл от просмотра, должен ли я применить дополнительные действия для того, чтобы обезопасить php файл?

Answer 1

[FanatPHP]

РНР файлы не "скрываются от просмотра". Они исполняются и возвращают результат своей работы.
Никакие дополнительные действия применять не нужно.

Comments

[prrrrrrr]

Никакие дополнительные действия применять не нужно.

а как же доп методы защиты сервера?

[ThunderCat]

prrrrrrr,

а как же доп методы защиты сервера?

К просмотру пхп файлов они относятся в последнюю очередь. Взлом сервера это априори доступ к практически ЛЮБОЙ информации на нем. И обычно код пхп файлов начинающих программистов последнее что волнует таких ребят.

Answer 2

[Programiker]

Могут ли сторонние php скрипты изменять файлы на хостинге?

Answer 3

[Ternick]

Дополню ответ ко всем сверху.Просто так взять и посмотреть содержимое .php файлов нельзя НИКАК.PHP файлы посмотреть можно при наличии дыр или уязвимостей(даже если это sql-injection), как в самих php скриптах так и в каком-нибудь nginx.

Простым примером дыр являются старые версии DataLifeEngine, если поискать можно даже найти статьи, которые описывают способы просмотра php файлов и много другого, если на сервере установлена уязвимая версия DLE.

Comments

[Антон Р.]

А если PHP сервер установлен неправильно или остановлен?

[Ternick]

Антон Р., Я не уверен, но скорее всего при правильной работе nginx он просто вернёт 500 код ответ или что-то такое.

[Ternick]

Антон Р., Хотя можно многое понимать под 'PHP сервер'. Нет такой штуки 'PHP сервер'. Есть язык программирования PHP.

[Антон Р.]

Ternick, ну я имел в виду что интерпретатор не работает, а сам сервер по IP например показывает структуру папок и файлов (программист не озаботился сделать пустой index.html в корне).

[Ternick]

Антон Р., Всё зависит от настройки htaccess. Дело далеко не в index.html. По стандарту, если файла нет, то вместо него показывается директория. *КУСЬ*

Answer 4

[alekssamos]

Главное не делать так: include $_GET['page'];
PHP-инъекция — Википедия

Answer 5

[survivor2005]

Я надеюсь что пароль захэширован и к нему есть соль

Comments

[RTFMaster]

Ну если будет доступ к просмотру директории, можно получить доступ и к солям и к функциям хеширования. Или имеется ввиду, что при коннекте к базе декодирование происходит на движке БД?

Answer 6

[xMlex]

Главное не забыть, в случае отображения ошибок пароль может быть виден в trace :)