PHP安全-密码和凭据管理？

在阅读了一篇网站上的文章后，我真的很担心我自己服务器的安全

在一个PHP文件中，我的用户名和密码（在我的整个网站上使用-服务器根目录、mysql根目录等）以明文形式插入，该文件稍后会包含在我向用户显示的所有主要PHP页面中。。。有什么好担心的吗？任何人都可以读取php文件（比如下载并读取它，而不是让服务器执行它）

我的用户名和密码有被盗的风险吗？它们是给变量赋值的简单文本字段

如果是的话，你有什么建议吗？像加密引擎？还是什么

---

提前谢谢

将包含用户名和密码的配置文件存储在可公开访问的根文件夹之外

例如，如果根文件夹是

/home/username/public\u html/

，则将配置文件存储在

/home/username/

中

您仍然可以在运行在

public_html

中的PHP脚本中包含配置文件，但如果出现任何错误（即您的web服务器开始打印PHP脚本内容而不是处理脚本），则您的用户名和密码仍应是安全的

将文件存储在web根目录之外

设置正确的文件权限，以便其他用户无法使用它

---

相关/可能重复：将这些文件保留在公共目录之外，以便永远无法从web上查看它们。还要确保权限设置正确，以便系统中的任何人都无法查看文件。最后，不要在服务器上存储登录凭据，而是使用openID。一个非常友好的openid库是LightOpenID。谢谢，我会试试这个。另外，我应该做什么来降低开销？就像我有一个页面：foo.php，其中包括mysql连接页面：来自系统根目录的connect.php，然后包括来自“credentials”文件夹的credentials.php？可以吗？就像系统资源一样，好吗？我不明白为什么不好；一个文件包括另一个。好的，谢谢！我将实施它，并希望它会顺利进行。我所说的开销是一个想法，一个请求可以访问3个文件。我在某个地方读到，一个用户请求一个大文件比多个小文件更可取。无论如何，谢谢你所做的一切！多个请求确实比请求一个大文件有更大的开销，但差异是绝对最小的；我们谈论的是数千秒，也许更少。