データベースに接続するファイルでは、ドキュメントの先頭に次の行があります。
include ('database/data.php');
から完全に構成される
$database = mysqli_connect(host,Username,Password,Table);
そして、「データベース」フォルダーには、次の .htaccess ファイルがあります。
<files data.php>
order allow,deny
deny from all
</files>
これまでのところ問題なく動作していますが、知っておく必要があります。これは安全ですか?
データベースの資格情報を印刷/エコーアウトしない限り、技術的には人々はそれらを手に入れることができません.
現時点では安全ですが、他のすべてのファイルがRFI、SQL Injection. (リモートファイルインクルージョン)攻撃が利用可能な場合RFI(たとえば、アップロードイメージ/アップロードファイル(フォーム)で)、攻撃者はc99シェルをアップロードしてすべてのファイルを削除する可能性があります。
それはまだdocument_rootあなたのウェブサーバーの下にあるので、ウェブサーバーの設定で何かが起こった場合、資格情報を吐き出す可能性があります. このセットアップでは、PHP が生のテキストを吐き出したり停止したりしても問題はありません。しかし、.htaccess が適切に解析されないなど、Web サーバーに障害が発生すると、脆弱になります。
ディレクトリをパブリック部分とプライベート部分に分割することをお勧めします。後者がデータベース資格情報を保持する場所。