1

Web サイトのフォームを使用して、PEAR メール機能を使用して電子メールを送信しています。ここで説明されているように、電子メールは gmail 経由で送信されます - http://www.phpmaniac.net/wiki/index.php/Pear_Mail

したがって、次のようなものを含める必要があります。

<?php
$smtp_params["host"]     = "smtp.gmail.com";
$smtp_params["port"]     = "25";
$smtp_params["auth"]     = true;
$smtp_params["username"] = "user@gmail.com";
$smtp_params["password"] = "pass";
?>

ユーザー名とパスワードをそのようにスクリプトに入れるのは安全ですか? 明らかに、「ソースの表示」を使用してこのようなサーバー側スクリプトを表示することはできませんが、Web クリッパーなどを介してソース ファイルを取得し、そのようにスクリプトを読み取ることはできますか? ありがとう

4

2 に答える 2

1

誰かが誤って apache での php 解析を無効にした場合、ファイルはプレーン テキストとして提供されるため、docroot の外にある構成ファイルにパスワードを保持するのが好きです...念のため。apche 用の新しい php modual をビルドするときに、php.conf ファイルを httpd/conf.d/ ディレクトリにコピーするのを忘れて、php なしで apache を起動したことが何度かありました。私

理論的には、安全でない接続はすべてスヌープされる可能性があります。ただし、この場合、サーバーと gmails smtp サーバーの間で傍受する必要があります。また、電子メールをメールサーバーに安全に送信したとしても、それらが安全に接続して配信されるか、意図した受信者が電子メールアカウントを安全にチェックするかはわかりません.

この場合、基本認証がスヌープされることだけを気にします。Gmail の安全な SSL 接続を使用する

すべての電子メール通信は安全ではないと想定して、安全を確保してください。(メッセージを暗号化しない限り)

于 2012-10-27T14:51:05.320 に答える
0

接続には必ず SSL/TLS を使用する必要があります。単純に、暗号化されていないチャネルを介して平文でパスワードを送信するのは悪い考えだからです。

PHP インタープリターが正常に動作し、攻撃者が PHP ファイルのソースコードを表示できるようにするセキュリティ ホールが PHP スクリプトにない限り、PHP スクリプト内のログイン データは安全です。

PHP ソースコードが表示される原因となる設定ミスのリスクに対する簡単な改善は、設定ファイルをドキュメント ルートの外に保存することです。

于 2012-10-27T14:53:23.073 に答える