授予文件夹中文件的 PHP root 权限答案

【问题标题】：Give PHP root permissions to files in folder授予文件夹中文件的 PHP root 权限
【发布时间】：2014-03-12 22:52:22
【问题描述】：

我是 php 新手，对事物有所了解，但对基本安全概念或服务器管理知之甚少。我最近被黑了（假设来自 mysql 注入），我的文件都被删除了。在尝试恢复运行并尝试正确保护我的脚本后，我遇到了这个问题：

建议我将所有数据库连接用户名/密码等放在单独的 .inc 文件中，在单独的文件夹中（不幸的是，我需要在根目录中的文件夹中）。我做得很好，但也建议我只为包含连接文件的文件夹授予 600 权限。

我的一个数据库连接文件如下所示：

$usersusername = "myusername goes here";
$userspassword = "64bit encrypted password goes here";
$usershostname = "localhost";
$usersdbname = "my database goes here";

我在 index.php 中的包含如下所示：

include_once '/dbauth/myloginscript.inc';

我正在产生错误：

Warning: include_once(/home/mycpaneluser/public_html/dbauth/myloginscript.inc): failed to open stream: Permission denied in /home/mycpaneluser/public_html/index.php on line 60

Warning: include_once(): Failed opening '/home/mycpaneluser/public_html/dbauth/myloginscript.inc' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php') in /home/myloginscript/public_html/index.php on line 60

我被告知我需要在 http.conf 中包含以某种方式允许权限，但在我到达那一步之前，我是否遵循了正确的程序来保护我的数据库登录信息，还是我错过了标记？任何帮助，将不胜感激。

【问题讨论】：

检查config.inc.php。
确保您的$cfg['Servers'][$i]['user'] = 'yourUsername'; 和$cfg['Servers'][$i]['password'] = 'yourPassword';。
我希望你的文件不是真的config.inc 它应该是config.inc.php

标签： php mysql cpanel

【解决方案1】：

确保您的$cfg['Servers'][$i]['user'] = 'yourUsername'; 和$cfg['Servers'][$i]['password'] = 'yourPassword'; 在serverFolder/phpMyAdmin/config.inc.php 中。

【讨论】：

【解决方案2】：

将 .php 附加到 myloginscript.inc（文件名和对它）并在文件的最开头添加 PHP 开始标记，以便它将由 php 解析，而不是显示为纯文本。只是最坏的情况是直接在浏览器可访问目录中调用。
我假设“root”文件夹实际上是您的 ftp 主目录，在大多数虚拟主机环境中，默认情况下它是您的虚拟主机文档根目录的上一级。如果你把你的公司文件放在那里，参考将是include_once '../myloginscript.inc.php'; 检查您的虚拟主机的结构和 $_SERVER['DOCUMENT_ROOT'] 变量以获取正确的包含路径。

【讨论】：

似乎将文件夹 /dbauth/ 的权限更改为 770 似乎已经奏效，无需更改任何 http.conf 或任何其他管理文件。我现在的问题是：这够安全吗？
最好确保它正常工作。 ;) 如果是，并且无法通过在您的域中直接调用它来访问 inc 文件，这应该没问题。但是，不要使用纯文本文件作为登录凭据，始终添加 .php 并用 php 标签括起 php 代码。