¿Cuál es el mejor método para proteger los scripts PHP que contienen contraseñas de bases de datos?
Por lo que he leído, PHP puede revelarse cuando se produce un error y no se detecta.
¿Hay alguna forma de revelar PHP viendo el código fuente en un navegador o guardando los archivos del sitio en una computadora?
Gracias. Cualquier información sobre cementación de scripts PHP (excepto cuando se llama a través de AJAX) sería buena.
¿Es posible el cifrado PHP?
¿Cuál es el mejor método para proteger los scripts PHP que contienen contraseñas de bases de datos?
Un enfoque común es colocar este tipo de detalles en un archivo propio , al que no se puede acceder directamente a través del servidor web, por ejemplo. algo así como un directorio config fuera de la raíz del documento del servidor web. Siempre puede incluir este archivo donde sea necesario. Si por algún motivo es posible que un atacante devuelva el código fuente del archivo PHP, solo verá la declaración de inclusión, pero no los detalles de la conexión en sí.
¿Hay alguna forma de revelar PHP viendo el código fuente en un navegador o guardando los archivos del sitio en una computadora?
En teoría no debería. En la práctica, ha habido todo tipo de explotaciones, que se espera que ya estén solucionadas. Que yo sepa, no se conoce tal vulnerabilidad en estos días. Por otro lado estamos hablando de PHP;). Un error común es que los desarrolladores carguen archivos de copia de seguridad que un editor crearía junto con los originales , por ejemplo. algo como index.php~ o index.php.bak . El servidor web devolverá estos archivos directamente y, por lo general, contendrán los detalles que desea proteger.
¿Es posible el cifrado PHP?
Depende de lo que realmente quieras cifrar. Los archivos de configuración? El guión en sí? Obviamente, puede encriptar básicamente todo, pero al final del día debe ser accedido y / o ejecutado. Así que lo más probable es que solo sea una ofuscación.
Lea otras preguntas en las etiquetas passwords protection databases php