可能性の重複:
Security of PHP script, embedded or otherwisePHP設定ファイルはHTTP上で安全ですか?
ダウンロード(例えばWordpressの、)のために利用できる多くのPHPアプリケーションは、機密情報(パスワード、データベースログインの詳細など)を含む構成ファイルが含まれています。これらのファイルは本当に安全ですか?誰かが直接それらにナビゲートしたり、それらをダウンロードしようとすると(例えばhttp://www.example.com/admin/config.php経由で)、データがない空白のページが表示されます。しかし、私はまだ慎重です。この点に関して、ファイルセキュリティのベストプラクティスについて私に啓発できるかもしれませんか?ありがとうございました!
これらは通常安全です。ただし、public_htmlフォルダの上にある設定ファイルを含めるのが最善です。直接アクセスはできません。さもなければ、彼らを安全に保つために他にもたくさんの方法があります。
私は間違いなくpublic_htmlフォルダの上に置きます。 Marioは.htaccessファイルも定義しています。何らかの方法でデータベース名やパスワードなどを難読化するのに役立つでしょうか? – Jared
あなたは潜在的なパスワードの落ち込みを心配しているようです。イオンキューブのようなものを使うのはなぜですか? – frustratedtech
ありがとう、David。これらのコメントは私にいくつかの選択肢を与える。 – Jared
一般に保存されます。しかし、何らかの理由で可能ならば、Webからアクセスできないディレクトリに移動する必要があります。何らかの理由でPHPパーサーが動作しなくなり、plaintextのソースコードが吐き出されると、あなたの設定は表示されません。
ページのソースを表示します。重要なことはありません。サーバーがPHPを解析しない限り、あなたは大丈夫です。そうでなければ、あなたはデータベースのパスワードを知っているよりも大きな問題を抱えています(あなたのソースを見ることができれば、とにかく戸惑うでしょう) – Cyclone
一般的な助言は、機密設定ファイルをドキュメントルートの上に移動することです。もっと簡単な方法は、.htaccessとFilesMatchディレクティブを使用して制限付きサブディレクトリまたは事前アクセスを使用することです。 – mario
@mario:質問は関連していますが、PHPコンテンツが埋め込まれたHTMLファイルではなく、専用のPHP設定ファイルについて質問しています。 .htaccessとFilesMatchのヒントをありがとう。私はこれを調べます。 – Jared