Váš webový kořen, což je $_SERVER['DOCUMENT_ROOT']
v PHP je složka ve vašem souborovém systému, na kterou váš webový server (v tomto případě Apache) ukazuje pro konkrétního hostitele.
Pokud například vložíte tento kód do svého souboru index.php a navštívíte název své domény (nebo subdomény), sdělí vám váš webový kořen.
<?php
header("Content-Type: text/plain;charset=UTF-8");
die($_SERVER['DOCUMENT_ROOT']);
?>
Mělo by to říkat něco jako /home/some_user/public_html
nebo /var/www
. V tomto případě chcete vytvořit cestu, která není uvnitř tohoto adresáře.
Například:/home/some_user/config
nebo /var/webconfig
.
NE chcete jej uložit do /home/some_user/public_html/config
(všimněte si public_html) nebo /var/www/webconfig
(všimněte si, že toto je podsložka /var/www
)
Myšlenka ukládání dat mimo váš webový kořen spočívá v tom, že útočník nemůže přejít na http://yoursite.com/config/mysql.txt
a získejte svá hesla. Útoky LFI a adresáře traversal nespadají do rozsahu této iniciativy.
Do správy verzí byste také neměli kontrolovat žádné citlivé informace (databázové přihlašovací údaje, šifrovací klíče atd.). Nikdy.
Jak k nim přistupovat z PHP?
To závisí na tom, jak je vaše konfigurace zakódována.
<?php
$config = parse_ini_file('/home/some_user/config/mysql.ini');
// OR
$config = json_decode('/home/some_user/config/mysql.json');
// OR
require_once '/home/some_user/config/mysql_config.php';
?>