- 締切済み
mysql_connect() のパスワードについて
数日前にPHPをはじめたばかりの初心者なのですが、 気になることがあるので質問させていただきたいと思います。 いろいろな書籍やネット上のサンプルを見る限り、 PHPからmySQLに接続するためには mysql_connect()の引数にパスワードを入れるようになっていますが、 これはセキュリティ上問題ないのでしょうか? 過去の質問を調べたところ、 No.1142292に対する回答に、 .phpファイルはまず中身を見られることがないから大丈夫、 というのがあったのですが、 サーバのPHPパーサが落ちていた場合など、 .phpファイルは丸見えになってしまうのではないでしょうか。 そして、そのSQLテーブルを作成したユーザーが (cookieによる認証で)phpMyAdminを使用していた場合、 第三者がphpMyAdminで容易にテーブルにアクセスできてしまうのではないかと思います。 サーバは生きているがPHPパーサが落ちている、という 状態はほとんどありえないとは思うのですが、 万が一この状態が起こった場合に取れる自衛手段 はありますでしょうか?
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- cabinessence
- ベストアンサー率22% (27/122)
回答No.1
ご心配であれば、公開ページの置いてあるディレクトリ以外に.phpファイルを置けばいいと思います。 >mysql_connect()の引数にパスワードを入れるようになっていますが、 >これはセキュリティ上問題ないのでしょうか? 今ひとつ質問の意味がわからないのですが、MySQLに接続するためには、パスワードが必要なので、引数にパスワードを書きます。
お礼
お返事どうもありがとうございます。 心配していたケースとしましては、 1.サーバが生きていて、かつphpパーサのみがダウンしているときにphpファイルを開くと、中身が見えるのでは? (PHP環境のないローカルマシンでphpファイルを開いたときに中身が見えてしまう状態) 2.安易にルートディレクトリにphpMyAdminをおいていると、(パスワードを見た)悪意のある人から簡単にSQLにアクセスされてしまうのでは? というものです。 1の状態がすでにレアケースだとは思いますが、 2について、わかりにくいディレクトリ構成にする、 そもそもphpMyAdminを使用しない、など気をつけようと思います。 どうもありがとうございました。