Mezi běžné postupy tohoto problému patří vložení přihlašovacích údajů k databázi do konfiguračního souboru, který není PHP, jako je soubor INI, a následné přečtení pomocí PHP. Chcete-li přidat další zabezpečení, měli byste také umístit konfigurační soubor mimo webový kořenový adresář, abyste si byli jisti, že k souboru nemá nikdo přístup tím, že do něj přejdete přímo.
Například framework Laravel (mimo jiné) definuje webový kořen v adresáři /public, zatímco mimo tento adresář je .env
soubor obsahující kromě jiných nastavení přihlašovací údaje k databázi.
Více informací naleznete zde:Jak zabezpečit databázová hesla v PHP?
Ještě důležitější však je, že byste se nikdy neměli bát, že by vaše PHP bylo podáváno jako prostý text. Přijměte správná vývojová opatření, aby se to nikdy nestalo. Některé výchozí body jsou:
- Ujistěte se, že máte nainstalované PHP!
- Ujistěte se, že značky otevíráte a zavíráte správně
- Ujistěte se, že přípona souboru je
.php
a ne.html
(pokud nepoužíváte tato práce kolem ) - V produkčním kódu se také ujistěte, že na stránce nezobrazujete chyby (display_errors ini)