回答受付が終了しました

ID非公開

2021/11/22 13:20

44回答

レンタルサーバーでPHPを使ってデータベースにアクセスする時、データーベースへのログイン情報はどこに置くのが良いでしょうか。

PHP | ホームページ作成97閲覧xmlns="http://www.w3.org/2000/svg">500

回答(4件)

0

>.htpaccessでファイルにアクセスする時はパスワードを要求する設定 そのファイルにブラウザで表示しなければいけない理由があるのかを要確認 普通はプログラムが読む事さえできれば良いのだから、ブラウザ経由のアクセスは禁止にする ssh等でそのファイルを設置した人は当然読めるだろうし、わざわざサーバ上のファイルを見なくても手元のアップロードした元ファイルを見れば良いので そして.ht~はWebサーバがApacheである事が前提でnginxではデフォでは機能しないはずだから、そのレンサバ屋で機能するかも要確認 >見られて困るものを保存する予定はありませんが、書き換えられてしまったら困るし、パスワードが丸見えなのは気持ち悪い 「書き替えられる」のは相当危機的な状況なので無いとしても、「見られて困る」ではなく、サーバに接続するヒントを与えてしまう事が脅威です >障害などでDB接続エラーなどあった際にrequireしてるDB接続ファイルのパスとかコードが親切に表示されてしまう そんなエラーを全くトラップしないプログラムでの運用はダメでは? PDOのマニュアルでも接続時に例外を拾う様に書いてあるし >>> bj1********さん

0

他の方の方法に追記すると開発が終了したら、display errors は off にしておいてください。 障害などでDB接続エラーなどあった際にrequireしてるDB接続ファイルのパスとかコードが親切に表示されてしまうのを防止しましょう。

0

記載したファイルの拡張子が .inc とかだとアレですが、そうでもなければあまり神経質になる必要もないと思います。 #拡張子 .php ならクライアント(ブラウザ)には何も返しませんからね。 >ファイルにアクセスする時はパスワードを要求する設定をする。 .htaccess で設定するなら当該ファイルへのアクセスを拒否する(403に落とす)のが正解かと。

ID非公開

質問者2021/11/22 15:42

ありがとうございます! 追加で質問をしてもよいでしょうか。 「 .inc とかだとアレですが」について教えてください。 .phpであれば、クライアントは何も返さないが、 .incだと、クライアントから中身が分かる状態で返ってくる可能性があるから、という理解で間違いないでしょうか。

0

mysqli_connect()とかのことでしょうか? 特にPHPファイルに直接書き込んで問題ないですよ。 あたしはgithubでソースをオープンにしているので別ファイルで設定、includeで読み込んでいますが、そうそう外部から見れるものでもありませんですし