一区二区久久-一区二区三区www-一区二区三区久久-一区二区三区久久精品-麻豆国产一区二区在线观看-麻豆国产视频

php inc文件使用的風險和注意事項

2014-10-22 19:22:26 分類:php技術 閱讀(92)
數據庫使用中需要關注的主要問題之一是訪問權限即用戶名及密碼的暴露。在編程中為了方便,一般都會用一個db.inc文件保存,如:
復制代碼 代碼如下:
<?php
 $db_user = 'myuser';
$db_pass = 'mypass';
$db_host = '127.0.0.1';
 $db = mysql_connect($db_host, $db_user, $db_pass);
 ?>

用戶名及密碼都是敏感數據,是需要特別注意的。他們被寫在源碼中造成了風險,但這是一個無法避免的問題。如果不這么做,你的數據庫就無法設置用戶名和密碼進行保護了。
如果你讀過http.conf(Apache的配置文件)的默認版本的話,你會發現默認的文件類型是text/plain(普通文本)。這樣,如果db.inc這樣的文件被保存在網站根目錄下時,就引發了風險。所有位于網站根目錄下的資源都有相應的URL,由于Apache沒有定義對.inc后綴的文件的處理方式類型,在對這一類文件進行訪問時,會以普通文本的類型進行返回(默認類型),這樣訪問權限就被暴露在客戶的瀏覽器上了。
為了進一步說明這個風險,考慮一下一個以/www為網站根目錄的服務器,如果db.inc被保存在/www/inc,它有了一個自已的URLhttp://example.org/inc/db.inc(假設example.org是主機域名)。通過訪問該URL就可以看到db.inc以文本方式顯示的源文件。無論你把該文件保存在/www哪個子目錄下,都無法避免訪問權限暴露的風險。
對這個問題最好的解決方案是把它保存在網站根目錄以外的包含目錄中。你無需為了達到包含它們的目的而把它們放至在文件系統中的特定位置,所有只要做的只是保證Web服務器對其有讀取權限。因此,把它們放在網站根目錄下是沒有必要的風險,只要包含文件還位于網站根目錄下,任何減少風險的努力都是徒勞的。事實上,你只要把必須要通過URL訪問的資源放置在網站根目錄下即可。畢竟這是一個公共的目錄。
前面的話題對于SQLite數據庫也有用。把數據庫保存在當前目錄下是非常方便的,因為你只要調用文件名而無需指定路徑。但是,把數據庫保存在網站根目錄下就代表著不必要的風險。如果你沒有采用安全措施防止直接訪問的話,你的數據庫就危險了。
如果由于外部因素導致無法做到把所有包含文件放在網站根目錄之外,你可以在Apache配置成拒絕對.inc資源的請求。
復制代碼 代碼如下:
<Files ~ "/.inc$">
  Order allow,deny
  Deny from all
</Files>

如果只是因為要舉個例子而這么寫的話,可以理解,畢竟大家學到了一些手段,但這個例子未免生硬了一點。實際上只要把該文件更名為db.inc.php就可以了。就好象房子破了個洞而不去修補,卻在外面去造一個更大的房子把破房子套起來一樣。
后面你還可以看到另外一種防止數據庫訪問權限暴露的方法,該方法對于共享服務器環境(在該環境下盡管文件位于網站根目錄之外,但依然存在暴露的風險)非常有效。

php技術php inc文件使用的風險和注意事項,轉載需保留來源!

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。

標簽:
主站蜘蛛池模板: 精品欧美一区二区在线观看 | 天天摸天天躁天天添天天爽 | 成人在线视频网址 | 免费一级毛毛片 | 视频一区国产精品 | 免费黄色在线观看 | 国色天香网在线 | 久久久亚洲国产精品主播 | 成人福利免费视频 | 国产精品嫩草影视在线观看 | 在线免费看黄网站 | 特别黄的免费视频大片 | 激情综合婷婷丁香六月花 | 国产美女白丝袜精品_a不卡 | 激情五月宗合网 | 久草一级片 | 玖玖操 | 亚洲欧美日韩国产一区二区精品 | 巨人导航收录500精品 | 午夜在线视频国产 | 色偷偷影院 | 久久久噜噜噜久久网 | 97一区二区三区四区久久 | 伊人蕉久 | se97se成人亚洲网站在线观看 | 色婷婷久久综合中文久久一本` | 中文字幕一区二区三区不卡 | 欧美激情在线精品一区二区 | 欧美一级日韩一级亚洲一级 | 色老板在线免费 | 久久久久久噜噜噜久久久精品 | 狠狠五月深爱婷婷网免费 | 女女同性一区二区三区四区 | 激情小说激情图片 | 看全色黄大色大片免费久久怂 | 在线观看免费黄色小视频 | 国产福利免费看 | 免费激情 | 国产成人亚洲影视在线 | 久久久精品久久久久久久久久久 | 久久99国产亚洲高清观看首页 |