PHP的conf文件权限

有了这个strtucture在PHP proyect：PHP的conf文件权限

htdocs/ 
    project_name/ 
    conf/ 
     db_info.xml 
    html/ 
     index.php

的index.php正在读db_info.xml

该项目的所有者和组是和用户为它创建。

DOCUMENT_ROOT是的htdocs/PROJECT_NAME/HTML/

是不安全设置644与数据库信息和凭据（db_info.xml）的文件？

所有读取permision可能是一个安全问题或让文件夹命名为'conf'出DOCUMENT_ROOT不应该是一个问题？

有关您的主机/服务器的一些信息不会有问题。 – Progrock

这取决于您的Web服务器配置 - 如果您不允许Web服务器公开地读取并提供conf目录 - 应该不是问题。但通常你应该考虑将配置从公共文件夹中移出。

2017-07-28 09:33:59 t1gor

同意。 'conf'目录应该与'htdocs'目录在同一目录级别。希望他的服务器将允许它。 – JBH

@JBH应该在同一级别？这当然是品味的问题。我们甚至不知道哪个目录是OP的'DOCUMENT_ROOT'。 – Progrock

够公平的。我假设'htdocs'是文档根，因为它是一个通用名称。 – JBH

我个人认为你不需要给所有用户一个读取权限，所以不要给他们。

所有读取permision可能是一个安全问题或让文件夹命名'conf'出DOCUMENT_ROOT不应该是一个问题？

这是必须的，如果没有人可以读取您的数据库，如果该文件已获得644许可。

无论如何，使用.xml作为“数据库”并不是最好的安全解决方案，只有在您无法做其他事情时才使用此解决方案。请记住使用强加密算法（bcrypt或argon2）和盐

2017-07-28 09:35:14

回答