Php 有人可以从我的服务器外部访问我的数据库吗?
我试图“我的网站”看看发生了什么(我最近读到了这方面的消息),我在谷歌上搜索了Php 有人可以从我的服务器外部访问我的数据库吗?,php,database,security,Php,Database,Security,我试图“我的网站”看看发生了什么(我最近读到了这方面的消息),我在谷歌上搜索了网站:www.x.com intitle:“+db服务器的索引” 并在三个目录中找到一个.inc文件 <?php class clsSettings { var $site = "localhost"; var $sitedb = "x"; var $siteuser = "x"; var $sitepass =
网站:www.x.com intitle:“+db
服务器的索引”
并在三个目录中找到一个.inc
文件
<?php
class clsSettings
{
var $site = "localhost";
var $sitedb = "x";
var $siteuser = "x";
var $sitepass = "x";
} /* settings */
?>
有人可以从我的服务器外部访问我的数据库吗
我应该担心这些敏感信息的曝光吗
注意:我用
X
s删除了敏感信息。这就是为什么除了.PHP
之外,您不给PHP文件命名的原因。您可以将服务器配置为解析.inc
文件或任何文件扩展名,如果需要,可以使用PHP,但这不是常见的配置,尤其是在共享服务器上
如果您可以看到包含密码的文件内容,那么世界其他地方也可以看到。此外,Aziz关于更改robots.txt的评论对您毫无帮助。事实上,你可以通过这种方式提醒人们注意你隐藏的东西,因为任何试图进入你网站的人都不会遵守robots.txt中的规则
不允许自动目录索引也是很常见的,除非您出于某种特定原因需要它。这就是为什么除了
.PHP
之外,您不给PHP文件命名的原因。您可以将服务器配置为解析.inc
文件或任何文件扩展名,如果需要,可以使用PHP,但这不是常见的配置,尤其是在共享服务器上
如果您可以看到包含密码的文件内容,那么世界其他地方也可以看到。此外,Aziz关于更改robots.txt的评论对您毫无帮助。事实上,你可以通过这种方式提醒人们注意你隐藏的东西,因为任何试图进入你网站的人都不会遵守robots.txt中的规则
不允许自动目录索引也是很常见的,除非您出于某种特定原因需要它。我相信您已通过将文件扩展名重命名为.php解决了此问题 在服务器上使用新密码(即通过SSH)执行此命令: 然后更改所有引用的PHP文件的密码 此外,您可能需要创建一个“机器人陷阱”来阻止不遵循robots.txt文件的机器人,有关更多信息,请参阅。然而,请注意,这是一个薄弱的保护措施 您还可以将其添加到WWW根目录中的.htaccess以停止目录列表:
Options -Indexes
我相信您通过将文件扩展名重命名为.php解决了这个问题 在服务器上使用新密码(即通过SSH)执行此命令: 然后更改所有引用的PHP文件的密码 此外,您可能需要创建一个“机器人陷阱”来阻止不遵循robots.txt文件的机器人,有关更多信息,请参阅。然而,请注意,这是一个薄弱的保护措施 您还可以将其添加到WWW根目录中的.htaccess以停止目录列表:
Options -Indexes
对暴露这些信息会增加网站的风险。是的,您可以告诉google停止使用robots.txt文件()为某些页面/路径编制索引,但是您应该阻止从服务器本身访问此信息。可能是@Aziz的副本,但是有人可以登录到我的数据库吗?这些文件应该存储在您的文档根目录之外,它们不是公开的吗accessible@Yim:这取决于许多因素,但暴露密码会显著增加风险。是的。暴露这些信息会增加网站的风险。是的,您可以告诉google停止使用robots.txt文件()为某些页面/路径编制索引,但是您应该阻止从服务器本身访问此信息。可能是@Aziz的副本,但是有人可以登录到我的数据库吗?这些文件应该存储在您的文档根目录之外,它们不是公开的吗accessible@Yim:这取决于许多因素,但暴露密码会显著增加风险。嗯,robots.txt确实阻止谷歌为其编制索引(假设谷歌索引器尊重robots.txt),但我同意,这并不是他所面临的安全问题的解决方案。谢谢(+1)嗯,robots.txt确实阻止谷歌为其编制索引(假设谷歌索引器尊重robots.txt),但我同意,这不是他所面临的安全问题的解决方案。谢谢(+1)