正常に動作する素晴らしい php mySQL ログイン スクリプトがあります。スクリプトで公開せずにすべてのアクセス情報を提供する別の方法はありますか? 現在、安全ではないと思われるすべてのセキュリティ アクセス情報を表示しています。
これを隠すことはできますか?
これが私が言及しているものです:
$host="localhost"; // Host name
$username="XXXXXXXXXX"; // Mysql username
$password="XXXXXXXXXX"; // Mysql password
$db_name="XXXXXXXXXXX"; // Database name
$tbl_name="XXXXXXXXXX"; // Table name
database.phpを作成し、上記のコードスニペットをdatabase.phpに移動してから、..
include "database.php";
データベース接続が必要な各ページの上部。
最初のステップ:他のスクリプトに含めるよりも、すべてのmysqlapiを別のファイルに入れます。
2番目:サーバーを構成しているため、sql config\apiファイルへのアクセスを拒否します。
ところで、「私のセキュリティアクセス情報をすべて表示する」とは誰に表示しますか?
これを行う簡単な方法はありません。変数を別のファイルに保存してから、データを含めることをお勧めします。他の人がデータを読むことに満足していない場合は、スクリプト専用の別のユーザーを作成してみませんか?それが私がする方法です。
そのスクリプトを配布して、以前にファイル全体を暗号化したい場合は、いつでもZendGuardを使用できます。
どこかで定義する必要があります。パーミッションを400に設定できるように、suPHPがインストールされていることを確認します。次に、connection.phpなどの定義を含むファイルを含めます。これにより、サーバー/アカウントでのみphpファイルを読み取ることができるため、非常に安全です。
クライアントに送信する前に php がスクリプトを解釈する限り、安全です。Apache conf ファイルにアクセスできる場合は、次のようなことを試すことができます。
スクリプトの先頭にファイルを含める場合は、ファイルに解釈される拡張子 (.php) を付けるか、.htaccess ファイルで提供されないようにすることが重要です。そうしないと、Web サーバーが要求に応じてテキストとして提供する危険性があります。
クライアント マシンは、サーバー側プロセスのソース コードや PHP 変数にはアクセスできません。出力のみです。PHP スクリプトで変数を表示するための特定のメカニズム (つまり、 のようなデバッグ関数var_dump) を提供しない限り、それは安全です。また、生のコードをプレーンな HTML のように配信するのではなく、PHP ファイルを処理してスクリプトの出力をレンダリングするようにサーバーを設定する必要がありますが、通常は PHP をインストールするだけでこの問題は解決します。
次に、共同作業者やサーバー アクセス権を持つ他のユーザーとのアクセス レベルに関するより広範な問題があります。これが、GitHub などのパブリック環境から除外する別のファイルに資格情報を格納することをお勧めする理由です。特にファイルのアクセス許可とファイルの所有権を投げ入れる場合は、すべてのケースが異なるため、それについて私が言うのはそれだけです。ただし、MySQL ユーザー権限も制限できることに注意してください。これにより、間違った人が資格情報に遭遇した場合に備えて、追加の保険層が追加されます.