过去,我曾将数据库凭据(用户名、密码)存储在另一个文件(web目录之外)中,并将其包含在PHP页面中,以与数据库建立连接。由于我已经开始通过AJAX进行大量的数据库交互,所以我必须改变这样做的方式,因为AJAX脚本不能include web目录之外的脚本。
为了处理AJAX数据库连接,我需要一种很好的安全方法来将用户名和密码数据获取到AJAX脚本中。做这件事最好的(安全方便的)方法是什么?如果我只是把我的数据库凭据文件放在web目录中,该给它什么权限?这是个好主意还是坏主意?
非常感谢!
**编辑**
显然,包含web根目录之外的文件没有问题,我错了。非常感谢,这可能会改变我的事情…:-/
**编辑2*
事实上,这改变了我的一切,我能够在所有页面中包含我正在使用的数据库配置文件(位于web根目录之外),所以这太棒了!
如果你使用AJAX,你应该只调用一个php页面,例如insert.php。在这个php中,你可以包括任何你想要的php(甚至在根文件夹之外)。所以您可以将db-credentials.php包含在insert.php
如果你不反对稍微改变一下,我认为你应该使用后端与数据库接口,只需要使用ajax来访问数据库的接口。这样你就不必"存储数据库信誉"客户端
或者,如果你绝对必须保存客户端,你应该想办法减少对保存在会话cookie或中的哈希/加盐密钥的访问