为什么在使用php时用xml存储数据更安全?
我想知道是否有人可以帮助我们了解,当您将页面的各个部分格式化为XML以供以后提取和使用时,PHP是如何变得更加安全的。基本上,我们在“index.php”中设置了一个函数,负责创建页面。调用时,它将获取一系列包含数据库连接信息和站点设置的XML文件。然后,它将这些内容解析为一个数组,以便在代码中使用。随后,对整个页面设置和小部件设置执行相同的操作 现在我承认,我只是不喜欢XML。对于任何潜在的好处来说都过于冗长,对于一般的数据存储来说也是一个糟糕的选择(为什么不使用数据库?),但我的同事坚持认为,由于XML,我们的代码在某种程度上更加安全。他没有解释原因,但还是被说服了。你知道为什么会这样吗为什么在使用php时用xml存储数据更安全?,php,xml,security,Php,Xml,Security,我想知道是否有人可以帮助我们了解,当您将页面的各个部分格式化为XML以供以后提取和使用时,PHP是如何变得更加安全的。基本上,我们在“index.php”中设置了一个函数,负责创建页面。调用时,它将获取一系列包含数据库连接信息和站点设置的XML文件。然后,它将这些内容解析为一个数组,以便在代码中使用。随后,对整个页面设置和小部件设置执行相同的操作 现在我承认,我只是不喜欢XML。对于任何潜在的好处来说都过于冗长,对于一般的数据存储来说也是一个糟糕的选择(为什么不使用数据库?),但我的同事坚持认为
更糟糕的是,XML文件被解析为全局变量,似乎如果攻击进入了索引,攻击者所需要做的就是循环通过$GLOBALS来检索数据库凭据和代码中其他有价值的信息。这似乎破坏了将数据存储在XML中可能带来的任何好处。那么我在这里错过了什么?有什么想法吗?XML文件并非天生安全或不安全,而是如何使用它们。XML只是一种数据格式。在这种情况下,听起来数据的分离方式对安全性没有任何显著影响
直接回答:不是这样。XML文件并非天生安全或不安全,而是如何使用它们。XML只是一种数据格式。在这种情况下,听起来数据的分离方式对安全性没有任何显著影响
直接回答:不是。我知道我说过这是猜测,但这又是怎么回事 首先,您不能使用数据库来存储自己的数据库连接信息,所以位必须在某个地方。Deceze认为XML本身并不安全,这是正确的 任何安全方面都将来自于XML文件在组织中如何与PHP区别对待的其他细节。我能想到的两件事是:
- 如果有人在不知道自己在做什么的情况下随意处理这个文件,他们可能会相当容易地破坏它,这样就无法解析,整个系统就会失败。结果是:有些人不愿意去处理XML。我不确定这算不算安全,但在一个有着模棱两可动机的同事的世界里,这是有道理的
- 如果有人在不知道自己在做什么的情况下随意处理这个文件,他们可能会相当容易地破坏它,这样就无法解析,整个系统就会失败。结果是:有些人不愿意去处理XML。我不确定这算不算安全,但在一个有着模棱两可动机的同事的世界里,这是有道理的