Есть ли способ, которым злоумышленник может просмотреть исходный код в php-скриптах на моем сервере?

Question

Есть ли способ, которым злоумышленник может просмотреть исходный код в php-скриптах на моем сервере?

У меня есть сервер под управлением Debian OS, и у меня есть множество сценариев.php, расположенных в общедоступном каталоге apache по умолчанию. Это определенно не самый безопасный способ сделать это, но у меня есть скрипт, который будет выполнять все, что $_REQUEST["sql"] говорит в базе данных mysql. Вы можете запросить это, только если у вас есть правильный пароль, который сравнивается в тексте в скрипте.

Мой вопрос: может ли злоумышленник каким-то образом просмотреть этот скрипт и найти пароль, а затем выполнить SQL-команды по желанию?

0

php mysql server debian network-security

Источник

user5415420 10 мар '16 в 22:50

1 ответ

Решение

Другие вопросы по тегам php mysql server debian network-security

user998251 11 мар '16 в 00:11 2016-03-11 00:11 · Accepted Answer · 2016-03-11 00:11

Это возможно? Конечно, если ваш сервер взломан, это реальная возможность. Тем не менее, на самом деле вполне нормально включать учетные данные в файлы PHP (например, Wordpress), даже если это не самый безопасный способ.

Однако то, о чем вы говорите, представляет собой ненужную угрозу безопасности. С точки зрения аутентификации, вы должны использовать односторонний хеш для пароля, чтобы в случае взлома PHP-файлов злоумышленник все равно не смог их использовать. Проверьте функцию password_hash(..).

Кроме того, вы никогда не должны выполнять операторы SQL, отправленные непосредственно пользователем. Если вы собираетесь выполнять административные задачи, используйте либо Adminer, либо PhpMyAdmin. Операторы SQL должны генерироваться на стороне сервера с использованием подготовленных операторов, чтобы избежать информации, вводимой пользователем.