天天躁日日躁狠狠躁AV麻豆-天天躁人人躁人人躁狂躁-天天澡夜夜澡人人澡-天天影视香色欲综合网-国产成人女人在线视频观看-国产成人女人视频在线观看

php inc文件使用的風(fēng)險(xiǎn)和注意事項(xiàng)

2014-10-22 19:22:26 分類:php技術(shù) 閱讀()
數(shù)據(jù)庫使用中需要關(guān)注的主要問題之一是訪問權(quán)限即用戶名及密碼的暴露。在編程中為了方便,一般都會(huì)用一個(gè)db.inc文件保存,如:
復(fù)制代碼 代碼如下:
<?php
 $db_user = 'myuser';
$db_pass = 'mypass';
$db_host = '127.0.0.1';
 $db = mysql_connect($db_host, $db_user, $db_pass);
 ?>

用戶名及密碼都是敏感數(shù)據(jù),是需要特別注意的。他們被寫在源碼中造成了風(fēng)險(xiǎn),但這是一個(gè)無法避免的問題。如果不這么做,你的數(shù)據(jù)庫就無法設(shè)置用戶名和密碼進(jìn)行保護(hù)了。
如果你讀過http.conf(Apache的配置文件)的默認(rèn)版本的話,你會(huì)發(fā)現(xiàn)默認(rèn)的文件類型是text/plain(普通文本)。這樣,如果db.inc這樣的文件被保存在網(wǎng)站根目錄下時(shí),就引發(fā)了風(fēng)險(xiǎn)。所有位于網(wǎng)站根目錄下的資源都有相應(yīng)的URL,由于Apache沒有定義對.inc后綴的文件的處理方式類型,在對這一類文件進(jìn)行訪問時(shí),會(huì)以普通文本的類型進(jìn)行返回(默認(rèn)類型),這樣訪問權(quán)限就被暴露在客戶的瀏覽器上了。
為了進(jìn)一步說明這個(gè)風(fēng)險(xiǎn),考慮一下一個(gè)以/www為網(wǎng)站根目錄的服務(wù)器,如果db.inc被保存在/www/inc,它有了一個(gè)自已的URLhttp://example.org/inc/db.inc(假設(shè)example.org是主機(jī)域名)。通過訪問該URL就可以看到db.inc以文本方式顯示的源文件。無論你把該文件保存在/www哪個(gè)子目錄下,都無法避免訪問權(quán)限暴露的風(fēng)險(xiǎn)。
對這個(gè)問題最好的解決方案是把它保存在網(wǎng)站根目錄以外的包含目錄中。你無需為了達(dá)到包含它們的目的而把它們放至在文件系統(tǒng)中的特定位置,所有只要做的只是保證Web服務(wù)器對其有讀取權(quán)限。因此,把它們放在網(wǎng)站根目錄下是沒有必要的風(fēng)險(xiǎn),只要包含文件還位于網(wǎng)站根目錄下,任何減少風(fēng)險(xiǎn)的努力都是徒勞的。事實(shí)上,你只要把必須要通過URL訪問的資源放置在網(wǎng)站根目錄下即可。畢竟這是一個(gè)公共的目錄。
前面的話題對于SQLite數(shù)據(jù)庫也有用。把數(shù)據(jù)庫保存在當(dāng)前目錄下是非常方便的,因?yàn)槟阒灰{(diào)用文件名而無需指定路徑。但是,把數(shù)據(jù)庫保存在網(wǎng)站根目錄下就代表著不必要的風(fēng)險(xiǎn)。如果你沒有采用安全措施防止直接訪問的話,你的數(shù)據(jù)庫就危險(xiǎn)了。
如果由于外部因素導(dǎo)致無法做到把所有包含文件放在網(wǎng)站根目錄之外,你可以在Apache配置成拒絕對.inc資源的請求。
復(fù)制代碼 代碼如下:
<Files ~ "/.inc$">
  Order allow,deny
  Deny from all
</Files>

如果只是因?yàn)橐e個(gè)例子而這么寫的話,可以理解,畢竟大家學(xué)到了一些手段,但這個(gè)例子未免生硬了一點(diǎn)。實(shí)際上只要把該文件更名為db.inc.php就可以了。就好象房子破了個(gè)洞而不去修補(bǔ),卻在外面去造一個(gè)更大的房子把破房子套起來一樣。
后面你還可以看到另外一種防止數(shù)據(jù)庫訪問權(quán)限暴露的方法,該方法對于共享服務(wù)器環(huán)境(在該環(huán)境下盡管文件位于網(wǎng)站根目錄之外,但依然存在暴露的風(fēng)險(xiǎn))非常有效。

php技術(shù)php inc文件使用的風(fēng)險(xiǎn)和注意事項(xiàng),轉(zhuǎn)載需保留來源!

鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請第一時(shí)間聯(lián)系我們修改或刪除,多謝。

標(biāo)簽:
主站蜘蛛池模板: 动漫美女被羞羞动漫怪物 | 小SAO货边洗澡边CAO你动漫 | 野花视频在线观看免费 | 中国大陆一级毛片免费 | 玩弄人妻少妇500系列网址 | 欧美日韩另类在线观看视频 | 日本乱子人伦在线视频 | 国产成人精品亚洲线观看 | 国内精品乱码卡一卡2卡三卡 | 三级aa久久| 久久久久琪琪精品色 | 最新亚洲一区二区三区四区 | 真实农村女人野外自拍照片 | 精品久久久爽爽久久久AV | 一边吃奶一边添P好爽故事 一边吃奶一边啪啪真舒服 一本之道加勒比在线观看 一本之道高清在线观看一区 | WWW国产精品内射老师 | 国产精品18久久久久久白浆. | 国产1769一七六九视频在线 | 三级网址在线观看 | 午夜福利不卡片在线播放免费 | 国产精品青青在线麻豆 | 91久久精一区二区三区大全 | 中文字AV字幕在线观看 | 婷婷开心激情综合五月天 | 果冻传媒9CM在线观看 | 中文字幕a有搜索网站 | 国产在线综合色视频 | 伊人色啪啪天天综合婷婷 | 国产手机在线亚洲精品观看 | 青娱乐国产精品视频 | 果冻传媒在线播放 免费观看 | 国产伦精品一区二区三区免费观看 | 成人a视频片在线观看免费 成人a毛片久久免费播放 | 一本久道久久综合婷婷五月 | 野花日本大全免费高清完整版 | 最新无码国产在线视频2020 | 欧美性FREE玩弄少妇 | 中文字幕亚洲男人的天堂网络 | 99久久99久久免费精品蜜桃 | 一个人HD在线观看免费高清视频 | 日本高清在线一区二区三区 |