そこにはたくさんの情報があり、私はこれらすべてを php の単一ページ Web アプリケーションに織り込もうとしています。議論に加わろうとするのではなく、単に最新のサイトで標準を探すか、または意見の相違がある場合は、このオプションやその他のオプションに伴ういくつかのリスクがあります。
また、ドメインルートのconnect.phpファイルにデータベース接続があり、レベルを戻すことも考えています。
<?php require_once "../../folder/config.php";
session_start();
ob_start();
$access = 'my_value';
// ...
if($connectDatabase == TRUE) {
$action=TRUE;
include('connect.php');
}
*.phpすべてのファイルが PHP インタープリターを介して提供される限り、それらのコンテンツ [<?phpとの間?>] はアプリケーションと同じくらい安全です。古いスタイルの命名には、拡張子がわかっている場合にファイルが単にテキストとして提供されるdbinfo.incため、同様の問題が発生します。*.incディレクトリリストの論理グループ化には、inc.dbinfo.php、class.mysql_db.php、view.news.php などを好みますが、末尾が.php.
誰かがコード インジェクションを実行したり、生ファイルをサーバーに配置/サーバーから取得したりできるようになると、データベース情報が保存されている Web ルートの何レベル上にあるかは関係ありません。
安全である必要がありますが、サイトでのインデックス作成を禁止することをお勧めします. これにより、人々はそのディレクトリに行ってphpファイルを見ることができなくなり、connect.phpに行こうとしても何も見えません。
http://www.ducea.com/2006/06/26/apache-tips-tricks-disable-directory-indexes/
構成ファイルをパブリックフォルダーの外に移動して、URL経由でアクセスできないようにします。または、.htaccessファイルを使用して、含まれているフォルダを保護します。
deny from all
また
<Files config.php>
Order Deny
Deny From All
</Files>