我被告知在PHP包含中建立数据库连接是不安全的。例如,如果我有一个登录页面,并在具有数据库连接的页面顶部添加"include('process.php')",这是不安全的吗?
号例如,如果我有一个登录页面,并在有数据库连接的页面顶部添加"include('process.php')",这是不安全的吗?
也许告诉你这一点的人正在谈论其他事情-例如使用来自GET参数的动态值包含文件,或使用远程http://包含,或如@AlienWebguy所提到的,在web根目录中包含密码。但是使用include本身并不是不安全的。
只有将密码直接存储在PHP文件中才不安全。它们应该在web根目录之外声明。也就是说,缺乏安全性并不是因为使用了include()功能。
就其本身而言,它不是不安全的。当然,如何在include中实现它是另一回事。
我一直都是这么做的。我确保包含在具有打开权限的不同目录中,并且您写入的目录具有锁定权限。希望这讲得通。
这个问题太宽泛了,很难从任何人那里得到一个好的答案。简短的回答是否定的,包含连接到数据库的文件本身并没有什么不安全的。但是,如果您编写的代码没有正确编写,那么这样做可能是不安全的。
由于使用"include('process.php')"与将'process.php'粘贴到另一个文件的代码中完全相同,因此这本身不应该是一个安全问题。这种不安全感可能存在于你的代码中,而不是你使用"include"的事实。事实上,由于重用,它可能会提高代码的安全性。