背景:我正在创建一个网站(在典型的LAMP环境中),该网站通过基于PHP/XML的API连接到不同域(但在同一服务器上)上的数据库。原因是我不想在我工作的域上有数据库连接的详细信息。为了实现这一点,我为该域启用了"允许url fopen"设置。
我的问题是,由于这是我知道如何做到这一点的唯一方法,有人知道一种更好、更安全的方法来实现这个结果吗?
如果两个域都位于同一台服务器上,您不需要使用HTTP连接到MySQL,您仍然可以在本地登录到MySQL服务器,为存储连接信息的域提供正确的凭据。
但它并没有真正起到很好的安全作用,就好像你的连接细节即使位于同一个域上,它也不是一个安全循环漏洞,因为只要你的网络服务器配置为使用PHP fine,你的PHP页面就不会是任何原始形式的服务器。您可以也可能应该将它们保留在同一个域中。事实上,为数据库连接提供一个可公共访问的API是一个更大的漏洞