【发布时间】:2020-04-04 23:28:38
【问题描述】:
我们有这个 config.php 文件:
<?php
$host = "host";
$dbname = "db";
$user = "user";
$pass = "pass";
try {
$conn = new PDO("mysql:host=$host;dbname=$dbname", $user, $pass);
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} catch(PDOException $e) {
die("Error");
}
?>
还有这个结构
/www/
index.php
config.php
索引文件可通过www.example.com/index.php 访问,但config.php 文件也可访问(通过www.example.com/config.php)。
其他人可以在 php 文件中包含www.example.com/config.php 并使用我的$conn 执行代码吗? 如何预防?
【问题讨论】:
-
不要放在
www。将其放在不公开的文件夹中。它仍然可以从那里包含,但无法访问。 -
@El_Vanja 哦,对了。谢谢你:)
-
我确定我之前在这个网站上看到过这个建议并想找到重复的,但我找不到提到它的问题,所以我发布了一个答案。
标签: php mysql sql database security