Меня интересуют комментарии и стратегии защиты файлов конфигурации PHP, особенно тех, которые имеют учетные данные Db.
Стандартный совет, устанавливающий расширение файла на * .php, хорош, но не защищает от атак с просмотром каталогов. Я рассматриваю конкретный сценарий:
У меня есть решение, которое, кажется, заслуживает внимания, но оно меня не совсем устраивает. Я хотел бы услышать комментарии к нему, а также
ЦЕЛИ
полностью скрывает файл конфигурации от ошибочного дочернего веб-приложения (и, что более важно, от самого веб-сервера).
скрывает фактическое расположение файла конфигурации. Это нелегко определить по чтению кода. Это противоположно указанию пути за пределами веб-дерева.
минимальное вмешательство как на уровне сервера, так и на уровне приложения.
Избегает жесткого кодирования пути.
Это не касается конфликтов имен файлов конфигурации, хотя в некоторых приложениях, вероятно, стоит изменить имя включаемого файла конфигурации.
К сожалению, для многих наших веб-приложений требуются жестко заданные пути.
Какие подходы придумали другие?
Применяется стандартный совет:
Еще лучший совет:
Скрывать файлы конфигурации, как вы предлагаете, кажется бесполезным, поскольку, как только злоумышленник получает контроль над вашей системой таким образом, игра в любом случае окончена. Вы просто усложняете свою собственную работу по поддержке своих веб-приложений с небольшим повышением безопасности.