php和mysql - 这是安全的吗？

Question

我目前正在开发一个网站和一个网络应用程序（不同的代码），将共享相同的数据，并且这些数据存储在数据库中。我做这样说：

我有两个域

域1 - >包含的实用程序（即PHP文件查询DB）

域2 - >包含网站

从domain2我发送请求到http://domain1.com/utilities/php/domain2/get_from_db.php这让我回到我需要的结果。

我的恐惧是，这是不安全的，因为这些文件暴露出来？

它曾经是一个空的网站，如果您导航到http://domain1.com/文件结构是可见的。我现在创建了一个空的index.php文件，以便文件结构不再可见。

我的印象这仍然不是很安全，我是否正确？

数据库文件如下：

的config.ini

get_from_db.php

的get_from_db.php有这个代码连接，并从数据库中取回数据：

header("Access-Control-Allow-Origin: http://domain2.com"); 
$db = new mysqli($host, $config['username'], $config['password'], $config['dbName'); 

if ($db->connect_errno > 0) { 
    die('Unable to connect to database [' . $db->connect_error . ']'); 
} 

if (mysqli_connect_errno()) { 
    echo "Failed to connect to MySQL: " . mysqli_connect_error(); 
} 


class data 
{ 
    public $id = ""; 
    public $col1 = ""; 
    public $col2 = ""; 
    public $col3 = ""; 
    public $col4 = ""; 
} 

$sql = "SELECT * FROM myDb.myTable"; 
$result = mysqli_query($db, $sql) or die(mysqli_error($db)); 

$obj = array(); 

while ($row = $result->fetch_assoc()) { 
    $col1 = $row['col1']; 
    $col2 = $row['col2']; 
    $col3 = $row['col3']; 
    $col4 = $row['col4']; 

    $e = new cvdata(); 
    $e->col1 = $skills; 
    $e->col2 = $hobbies; 
    $e->col3 = $education; 
    $e->col4 = $experience; 
    array_push($obj, $e); 

} 

echo json_encode($obj); 

现在，我的最后一个问题n是：

这个级别的安全性是否足够？ （我的意思是，我知道登录等等，但这是一个非常简单的项目，数据应该可用于每个人尝试使用网站或应用程序，因为它根本不敏感（这只是一些项目的细节，这是所有））

感谢您的帮助，建议或意见

Answer 1

这取决于你的敏感数据是。如果我们谈论的是非常严重的数据，我会尝试使用JWT -esque标记授权系统，但如果它只是一些小问题，比如说。一家餐厅的菜单卡，我将domain2设置为唯一一个能够制作cross-origin HTTP requests并且完成它的人。

什么你不过应该做的是采取config.ini你的可见路径。将其降低到只能通过文件系统访问的级别，但不能通过http://domain2.com/config.ini