Gängige Vorgehensweisen für dieses Problem sind das Einfügen der Datenbankanmeldeinformationen in eine Konfigurationsdatei, die nicht PHP ist, z. B. eine .ini-Datei, und das anschließende Lesen dieser Datei mit PHP. Um zusätzliche Sicherheit hinzuzufügen, sollten Sie die Konfigurationsdatei auch außerhalb des Webstammverzeichnisses ablegen, damit Sie sicher sein können, dass niemand auf die Datei zugreifen kann, indem er direkt dorthin navigiert.
Beispielsweise definiert das Laravel-Framework (unter anderem) den Webstamm im /public-Verzeichnis, während sich außerhalb dieses Verzeichnisses eine .env
befindet Datei, die neben anderen Einstellungen Datenbankanmeldeinformationen enthält.
Weitere Informationen finden Sie hier:How to secure Datenbankpasswörter in PHP?
Noch wichtiger ist jedoch, dass Sie sich nie Sorgen machen müssen, dass Ihr PHP als reiner Text bereitgestellt wird. Treffen Sie die richtigen Vorkehrungen für die Entwicklung, um sicherzustellen, dass dies niemals passiert. Einige Ausgangspunkte sind:
- Stellen Sie sicher, dass Sie PHP installiert haben!
- Stellen Sie sicher, dass Sie Ihre Tags richtig öffnen und schließen
- Stellen Sie sicher, dass Ihre Dateierweiterung
.php
ist und nicht.html
(es sei denn, Sie verwenden diese Umgehung ) - Stellen Sie auch im Produktionscode sicher, dass Sie keine Fehler auf der Seite anzeigen (display_errors ini)