在使用 PHP 连接到 MySQL 的教程中,您会看到类似于以下内容的内容。
$pdo = new PDO('mysql:host=localhost;dbname=mydb', 'myuser','mypassword');
我在本地主机上有一个以这种方式工作的连接,但是为了将其投入使用,您对密码做了什么?您是否将其保留为像 php 文件中那样的纯文本?或者有更安全的方法来处理这个问题吗?
如果查看源代码,没有人可以看到您的连接字符串,只能通过查看原始代码才能看到它。我还将它放在一个单独的文件中,并将该文件包含在您的页面上。如果您需要更改密码,这也很有帮助,因为您不必编辑使用连接的每个页面 - 您只需要编辑一个文件。
或者,您可以在包含文件中包含连接字符串并将其放置在文档根目录之外。这可以阻止人们使用浏览器访问此文件或攻击您的 FTP。这会help纯文本密码的安全性,但如果有人获取/有权访问您的本地目录,仍然可以访问。为此,您可能需要配置 PHP 配置变量,open_basedir
,它允许您的脚本与根目录之外的文件对话。当然,这一切都取决于您是否有权访问 root 后面的文件夹,and如果您可以更改该配置变量。
除此之外,没有什么可以做的。
包含文件示例:
创建一个名为conn.php
并将您的连接存储在那里。
$dbConn = mysql_connect($host, $user, $pass);
mysql_select_db("dbName", $dbConn);
在需要连接的页面上,包含 conn.php 文件,如下所示:
<?php
include("conn.php");
if (!dbConn) {
die('Sorry, our database did not load. Please try again later.');
exit();
}
$result = mysql_query("...");
?>
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)