【发布时间】:2013-05-07 15:34:02
【问题描述】:
我想在黑客查看源代码时隐藏我的数据库连接详细信息 因为他们可以向我的数据库发送恶意代码。
例如:
<?php
$con=mysqli_connect("example.com","peter","abc123","my_db");
// Check connection
if (mysqli_connect_errno())
{
echo "Failed to connect to MySQL: " . mysqli_connect_error();
}
mysqli_query($con,"INSERT INTO Persons (FirstName, LastName, Age)
VALUES ('Peter', 'Griffin',35)");
mysqli_query($con,"INSERT INTO Persons (FirstName, LastName, Age)
VALUES ('Glenn', 'Quagmire',33)");
mysqli_close($con);
?>
黑客现在知道我的数据库的用户名、密码和名称是什么,他可以向我的数据库注入错误代码。我搜索了该网站,但找不到正确的格式来解决我的问题。
【问题讨论】:
-
如果黑客可以查看您的源代码,他们也可以读取您的密码,他们可以读取您的盐、您的加密密钥以及使任何类型的安全性可行的所有其他内容。访问者应该看不到您的源代码。期间。
-
您可以定义用户名和密码,然后将它们存储在不在您网站目录中的文件中,如果您真的担心有人看到 php。
-
如果一切正常,用户将看不到您的 PHP 源代码,但最好将您的凭据放在 Web 根目录之外并在需要时
include他们。 -
用户看不到 php 代码(除非您的服务器配置错误)。因此,将您的数据库密码包含在您的 PHP 代码中不会使其对黑客可用。
-
你的黑客不应该访问你服务器上的文件,他不应该在你的服务器上看到你的 php 源代码,你的服务器应该有一个安全措施来防止这种情况。
标签: php mysqli sql-injection