小贝子编程

创建config.php的正确方法



目前,我正在将config.php文件放在Apache Server上的include folder中,这使我可以轻松访问该文件,而无需编写目录路径。我认为这是一个好主意,因为它是安全的,并且不能从公共根文件夹之外访问。

我从来没有被告知如何创建config.php文件,所以我即兴创作,但在我看来,这可能是错误的方式。。(现在没有那么安全)。然后我开始寻找如何以正确的方式构建这些配置文件的教程,但每个教程都有自己的方法。有些教程是通过使用数组来实现的。。有些是通过定义配置变量来实现的。。其他人使用类。。可能没有正确的方法,但我想要一个安全且功能强大的系统来工作,我真的不在乎它会有多先进。

这是我当前的配置文件。。您应该很容易地看到,它在任何方面都不那么安全,因为任何人都可能只能回显变量,然后读取连接。

<?
$main_host = 'db01.server.local'; // There may be db02, db03 etc.
$main_psw = '********';
$main_host_end = '.server.local'; // makes it possible for me to connect to a different datastore only knowing the subdomain.
// ***    USERS    *** //
$w_user = 'w_user';
$xr_user = 'xr_user';
$r_user = 'r_user';
$w_server = 'w_server';
$w_db_admin = 'dbw_admin';
// ***    DATABASES    *** //
$db_accounts = 'accounts';
$db_server = 'server_setup';
// ***    DB ACCOUNTS    *** //
try {
    $w_accounts = new PDO("mysql:host=$main_host;dbname=$db_accounts", $w_user, $main_psw);
    $w_accounts->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} catch(PDOException $e) {
    echo 'ERROR: ' . $e->getMessage();
}
try {
    $r_accounts = new PDO("mysql:host=$main_host;dbname=$db_accounts", $r_user, $main_psw);
    $r_accounts->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} catch(PDOException $e) {
    echo 'ERROR: ' . $e->getMessage();
}
// ***    DB SERVER SETUP    *** //
try {
    $w_server = new PDO("mysql:host=$main_host;dbname=$db_server", $w_user, $main_psw);
    $w_server->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} catch(PDOException $e) {
    echo 'ERROR: ' . $e->getMessage();
}
try {
    $r_server = new PDO("mysql:host=$main_host;dbname=$db_server", $r_user, $main_psw);
    $r_server->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} catch(PDOException $e) {
    echo 'ERROR: ' . $e->getMessage();
}

?>

所以。。直接提问。创建config.php文件的正确方法是什么?我真的也希望其他人会发现这一点很有用。

编辑我还应该指出,这可能不是全部。。我可能还有更多的联系。。不仅是accountsserver_setup

首先,永远不要在生产中回显异常消息,而是将它们放入可读的日志文件中。

如果您查看许多MVC框架,它们的php配置文件仅由一个数组组成,该数组在文件末尾返回。

限制对这些配置文件的访问可以通过.htaccess和"Deny from all"来完成

如果有人在你的项目中编写你不信任的代码,那么无论如何你都会遇到大麻烦。因此,呼应变量绝对不是一个问题。因此,您唯一关心的是如何保护您的PHP配置不受通过web浏览器访问它们的人的攻击。为此,我建议将所有配置文件放入configs/目录,并添加具有以下内容的.htaccess文件:

Options -Indexes
<FilesMatch .*.php$>
  order deny,allow
  deny from all
</FilesMatch>

相关内容

  • 没有找到相关文章

最新更新


热门标签:

javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium