Estoy tratando de hacer una conexión a un servidor SQL en PHP. ¿Es seguro simplemente poner las credenciales de la base de datos en texto sin formato en el archivo .php? ¿Puede un usuario editar el código php en una página .php y cambiar la forma en que se maneja una entrada?
No, si está hablando de un usuario final, no creo que él / ella pueda editar sus archivos php porque el servidor no procesó php en texto sin formato hasta que se le indica que lo haga. lo que puede hacer para proteger sus archivos connection.php es almacenarlo en un directorio separado y restringir el acceso directo al archivo y al directorio mediante la configuración del servidor o cualquier otro medio.
La mejor manera de ingresar las credenciales de la base de datos es crear la página de configuración (.config) y almacenar los valores en ella. No, el usuario no puede ver el archivo a menos que tenga privilegios de administrador para el servidor SQL
Si no desea mantener las credenciales de la base de datos en texto sin formato en archivos PHP, puede almacenarlas en variables de entorno en el Sistema operativo y obtenerlas utilizando la función PHP llamada getenv ; algo como esto:
<?php
$user = getenv('DB_USER');
$pass = getenv('DB_PASS');
...
?>
Puede agregar otro nivel de seguridad de esta manera, las credenciales no estarán en texto simple en el código fuente y el fortalecimiento del Sistema Operativo también ayudará a asegurarlas.
Espero que esta información te ayude.