php inc文件使用的风险和注意事项

 更新时间:2013年11月12日 11:39:27   作者:  
本文讲的是php中使用.inc文件的风险及解决方法
数据库使用中需要关注的主要问题之一是访问权限即用户名及密码的暴露。在编程中为了方便,一般都会用一个db.inc文件保存,如:
复制代码 代码如下:

<?php
 $db_user = 'myuser';
$db_pass = 'mypass';
$db_host = '127.0.0.1';
 $db = mysql_connect($db_host, $db_user, $db_pass);
 ?>

用户名及密码都是敏感数据,是需要特别注意的。他们被写在源码中造成了风险,但这是一个无法避免的问题。如果不这么做,你的数据库就无法设置用户名和密码进行保护了。
如果你读过http.conf(Apache的配置文件)的默认版本的话,你会发现默认的文件类型是text/plain(普通文本)。这样,如果db.inc这样的文件被保存在网站根目录下时,就引发了风险。所有位于网站根目录下的资源都有相应的URL,由于Apache没有定义对.inc后缀的文件的处理方式类型,在对这一类文件进行访问时,会以普通文本的类型进行返回(默认类型),这样访问权限就被暴露在客户的浏览器上了。
为了进一步说明这个风险,考虑一下一个以/www为网站根目录的服务器,如果db.inc被保存在/www/inc,它有了一个自已的URLhttp://example.org/inc/db.inc(假设example.org是主机域名)。通过访问该URL就可以看到db.inc以文本方式显示的源文件。无论你把该文件保存在/www哪个子目录下,都无法避免访问权限暴露的风险。
对这个问题最好的解决方案是把它保存在网站根目录以外的包含目录中。你无需为了达到包含它们的目的而把它们放至在文件系统中的特定位置,所有只要做的只是保证Web服务器对其有读取权限。因此,把它们放在网站根目录下是没有必要的风险,只要包含文件还位于网站根目录下,任何减少风险的努力都是徒劳的。事实上,你只要把必须要通过URL访问的资源放置在网站根目录下即可。毕竟这是一个公共的目录。
前面的话题对于SQLite数据库也有用。把数据库保存在当前目录下是非常方便的,因为你只要调用文件名而无需指定路径。但是,把数据库保存在网站根目录下就代表着不必要的风险。如果你没有采用安全措施防止直接访问的话,你的数据库就危险了。
如果由于外部因素导致无法做到把所有包含文件放在网站根目录之外,你可以在Apache配置成拒绝对.inc资源的请求。
复制代码 代码如下:

<Files ~ "\.inc$">
  Order allow,deny
  Deny from all
</Files>

如果只是因为要举个例子而这么写的话,可以理解,毕竟大家学到了一些手段,但这个例子未免生硬了一点。实际上只要把该文件更名为db.inc.php就可以了。就好象房子破了个洞而不去修补,却在外面去造一个更大的房子把破房子套起来一样。
后面你还可以看到另外一种防止数据库访问权限暴露的方法,该方法对于共享服务器环境(在该环境下尽管文件位于网站根目录之外,但依然存在暴露的风险)非常有效。

相关文章

  • php之curl实现http与https请求的方法

    php之curl实现http与https请求的方法

    这篇文章主要介绍了php之curl实现http与https请求的方法,分别讲述了PHP访问http网页与访问https网页的实例,以及相关的注意事项,需要的朋友可以参考下
    2014-10-10
  • php $_SERVER["REQUEST_URI"]获取值的通用解决方法

    php $_SERVER["REQUEST_URI"]获取值的通用解决方法

    在 PHP 众多预定义服务器变量中,$_SERVER["REQUEST_URI"] 算是经常用到的,但是这个变量只有 apache 才支持,因此,我们需要一个更加通用的方式来获取 REQUEST_URI 的值,本文就是结束这一问题的解决方案。
    2010-06-06
  • php下载文件超时时间的设置方法

    php下载文件超时时间的设置方法

    这篇文章W主要介绍了php下载文件超时时间的设置方法
    2016-10-10
  • PHP对象相互引用的内存溢出实例分析

    PHP对象相互引用的内存溢出实例分析

    这篇文章主要介绍了PHP对象相互引用的内存溢出实例分析,是PHP5.3以下版本中常见的一个bug,文中给出了解决方法,需要的朋友可以参考下
    2014-08-08
  • PHP排序算法类实例

    PHP排序算法类实例

    这篇文章主要介绍了PHP排序算法类,实例分析了插入排序、选择排序、冒泡排序、快速排序等排序算法的原理与实现技巧,需要的朋友可以参考下
    2015-06-06
  • PHP基于Closure类创建匿名函数的方法详解

    PHP基于Closure类创建匿名函数的方法详解

    这篇文章主要介绍了PHP基于Closure类创建匿名函数的方法,结合实例形式详细分析了Closure 类的功能、常用函数使用技巧及相关注意事项,需要的朋友可以参考下
    2017-08-08
  • php防止CC攻击代码 php防止网页频繁刷新

    php防止CC攻击代码 php防止网页频繁刷新

    这篇文章主要介绍了php防止CC攻击代码和php防止网页频繁刷新,网页快速恶意刷新,cc攻击利用代理服务器生成指向目标站点的合法请求,模拟多用户不停的对受害网站进行访问,感兴趣的小伙伴们可以研究一下
    2015-12-12
  • PHP实现自动识别Restful API的返回内容类型

    PHP实现自动识别Restful API的返回内容类型

    这篇文章主要介绍了PHP实现自动识别Restful API的返回内容类型,并实现自动自动渲染成 json、xml、html、serialize、csv、php等数据格式输出,需要的朋友可以参考下
    2015-02-02
  • php实现的操作excel类详解

    php实现的操作excel类详解

    这篇文章主要介绍了php实现的操作excel类,较为详细的分析说明了PHP操作excel的具体技巧,包括PHP针对excel的创建、打开、读取、修改等,需要的朋友可以参考下
    2016-01-01
  • PHP页面中文乱码分析

    PHP页面中文乱码分析

    php出现出现乱码的原因:页面文件的编码方式(.html,.php等)、html.head中指定浏览器的编码方式、MySql数据库传输的编码方式、Apache字符集。
    2013-10-10

最新评论