Observé esta pregunta: ¿Cuál es la forma correcta de almacenar cadenas de conexión de base de datos desde el punto de vista de seguridad?
Y me pregunto específicamente por conectar a una base de datos MySQL con PDO, ¿cómo puedo estar más seguro?
Utilice include o include_once para incluir cualquier cosa en PHP.
<?php
include_once("/etc/out-of-htdocs/password.php");
?>
El código PHP puede acceder a los archivos, a los que no se puede acceder a través de una URL. Ese es el beneficio de seguridad.
En caso de falta de configuración del módulo PHP, es posible que cada archivo PHP se entregue sin evaluación, lo que significa que la contraseña es legible para todos. Si no se puede acceder al archivo PHP a través de una URL, un problema de configuración del módulo PHP no tiene ningún impacto en la seguridad de la contraseña.
Quiero agregar a la pregunta original: ¿tal vez haya una forma de no almacenar la contraseña real en un archivo? Solo para mantener un hash en él, si los archivos PHP se descargan de alguna manera, el atacante no puede hacer eso.
Creo que no es un ejemplo descabellado, porque a veces no es posible almacenar el archivo de configuración fuera del directorio al que se puede acceder a través de FTP, lo que puede forzarse fácilmente.
Lea otras preguntas en las etiquetas appsec