php inc文件使用的風(fēng)險(xiǎn)和注意事項(xiàng)有哪些

這篇文章主要講解了“php inc文件使用的風(fēng)險(xiǎn)和注意事項(xiàng)有哪些”，文中的講解內(nèi)容簡(jiǎn)單清晰，易于學(xué)習(xí)與理解，下面請(qǐng)大家跟著小編的思路慢慢深入，一起來(lái)研究和學(xué)習(xí)“php inc文件使用的風(fēng)險(xiǎn)和注意事項(xiàng)有哪些”吧！

數(shù)據(jù)庫(kù)使用中需要關(guān)注的主要問(wèn)題之一是訪(fǎng)問(wèn)權(quán)限即用戶(hù)名及密碼的暴露。在編程中為了方便，一般都會(huì)用一個(gè)db.inc文件保存，如：

復(fù)制代碼 代碼如下:

<?php
 $db_user = 'myuser';
$db_pass = 'mypass';
$db_host = '127.0.0.1';
 $db = mysql_connect($db_host, $db_user, $db_pass);
 ?>

用戶(hù)名及密碼都是敏感數(shù)據(jù)，是需要特別注意的。他們被寫(xiě)在源碼中造成了風(fēng)險(xiǎn)，但這是一個(gè)無(wú)法避免的問(wèn)題。如果不這么做，你的數(shù)據(jù)庫(kù)就無(wú)法設(shè)置用戶(hù)名和密碼進(jìn)行保護(hù)了。
如果你讀過(guò)http.conf（Apache的配置文件）的默認(rèn)版本的話(huà)，你會(huì)發(fā)現(xiàn)默認(rèn)的文件類(lèi)型是text/plain（普通文本）。這樣，如果db.inc這樣的文件被保存在網(wǎng)站根目錄下時(shí)，就引發(fā)了風(fēng)險(xiǎn)。所有位于網(wǎng)站根目錄下的資源都有相應(yīng)的URL，由于Apache沒(méi)有定義對(duì).inc后綴的文件的處理方式類(lèi)型，在對(duì)這一類(lèi)文件進(jìn)行訪(fǎng)問(wèn)時(shí)，會(huì)以普通文本的類(lèi)型進(jìn)行返回（默認(rèn)類(lèi)型），這樣訪(fǎng)問(wèn)權(quán)限就被暴露在客戶(hù)的瀏覽器上了。
為了進(jìn)一步說(shuō)明這個(gè)風(fēng)險(xiǎn)，考慮一下一個(gè)以/www為網(wǎng)站根目錄的服務(wù)器，如果db.inc被保存在/www/inc，它有了一個(gè)自已的URLhttp://example.org/inc/db.inc(假設(shè)example.org是主機(jī)域名)。通過(guò)訪(fǎng)問(wèn)該URL就可以看到db.inc以文本方式顯示的源文件。無(wú)論你把該文件保存在/www哪個(gè)子目錄下，都無(wú)法避免訪(fǎng)問(wèn)權(quán)限暴露的風(fēng)險(xiǎn)。
對(duì)這個(gè)問(wèn)題最好的解決方案是把它保存在網(wǎng)站根目錄以外的包含目錄中。你無(wú)需為了達(dá)到包含它們的目的而把它們放至在文件系統(tǒng)中的特定位置，所有只要做的只是保證Web服務(wù)器對(duì)其有讀取權(quán)限。因此，把它們放在網(wǎng)站根目錄下是沒(méi)有必要的風(fēng)險(xiǎn)，只要包含文件還位于網(wǎng)站根目錄下，任何減少風(fēng)險(xiǎn)的努力都是徒勞的。事實(shí)上，你只要把必須要通過(guò)URL訪(fǎng)問(wèn)的資源放置在網(wǎng)站根目錄下即可。畢竟這是一個(gè)公共的目錄。
前面的話(huà)題對(duì)于SQLite數(shù)據(jù)庫(kù)也有用。把數(shù)據(jù)庫(kù)保存在當(dāng)前目錄下是非常方便的，因?yàn)槟阒灰{(diào)用文件名而無(wú)需指定路徑。但是，把數(shù)據(jù)庫(kù)保存在網(wǎng)站根目錄下就代表著不必要的風(fēng)險(xiǎn)。如果你沒(méi)有采用安全措施防止直接訪(fǎng)問(wèn)的話(huà)，你的數(shù)據(jù)庫(kù)就危險(xiǎn)了。
如果由于外部因素導(dǎo)致無(wú)法做到把所有包含文件放在網(wǎng)站根目錄之外，你可以在Apache配置成拒絕對(duì).inc資源的請(qǐng)求。

復(fù)制代碼 代碼如下:

<Files ~ "\.inc$">
  Order allow,deny
  Deny from all
</Files>

如果只是因?yàn)橐e個(gè)例子而這么寫(xiě)的話(huà)，可以理解，畢竟大家學(xué)到了一些手段，但這個(gè)例子未免生硬了一點(diǎn)。實(shí)際上只要把該文件更名為db.inc.php就可以了。就好象房子破了個(gè)洞而不去修補(bǔ)，卻在外面去造一個(gè)更大的房子把破房子套起來(lái)一樣。
后面你還可以看到另外一種防止數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)權(quán)限暴露的方法，該方法對(duì)于共享服務(wù)器環(huán)境（在該環(huán)境下盡管文件位于網(wǎng)站根目錄之外，但依然存在暴露的風(fēng)險(xiǎn)）非常有效。

感謝各位的閱讀，以上就是“php inc文件使用的風(fēng)險(xiǎn)和注意事項(xiàng)有哪些”的內(nèi)容了，經(jīng)過(guò)本文的學(xué)習(xí)后，相信大家對(duì)php inc文件使用的風(fēng)險(xiǎn)和注意事項(xiàng)有哪些這一問(wèn)題有了更深刻的體會(huì)，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是億速云，小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章，歡迎關(guān)注！