あなたの記述は正常です。
あなたはwwwディレクトリに到達可能なPHPファイルを持っていますので、apache(またはお気に入りのウェブサーバー)がそれらを読み込んで処理することができます。 あなたがそれらを移動すると、あなたはそれらにもう届くことができないので、そのような種類の本当のオプションはありません。
AJAX用のすべてのPHPファイルは通常のphpファイルですが、他のプロジェクトにもphpファイルが含まれている可能性があります。右 ?彼らは、あなたのサーバー上のどのスクリプトよりも危険にさらされることはありません。
「きれいに」プログラムするようにしてください。あなたのPHP関数を書くとき、悪い要求を書いた後ではなく、考えてください。 既に行ったように、データベースまたは機密機能に影響を与える入力をすべて正しく引用してください。
悪意のあるユーザーを検出すると、受信した値にセキュリティチェックを追加し、自動メールを作成できます。そのような場合には警告が表示される可能性があります。 しかし、いくつかの企業がウェブサイトで自動的にバグをスキャンするため、定期的に警告が表示されます。そのようなスキャンについても警告が表示されます。
あなたのコードを可能な限り「安全」なものとして書く上で、あなたのコードにリファラーチェックを追加することができます。つまり、アクセスしたときにあなたのウェブサイトがリファラーとして与えられた場合にのみPHPファイルが反応します。それはそこの子供の80%をブロックするのに十分です。 しかし、欠点:一部のインターネットユーザーはリファラーを一切送信せず、一部のプロキシはそれをフィルタリングします。(私は個人的にそれらを無視し、とにかくその上半分(WWW)インターネット休憩)
保護のもう一つの層はhtaccessのことで追加することができ
、あなたがPHP内のほとんどを行うことができますが、それはまだあなたのために参考になります。http://httpd.apache.org/docs/2.0/howto/htaccess.html
@zerkmsしたがって、存在するすべてのWebページのすべてのファイルはプライバシーを全く持たないはずです。 – Norse
PHPは公開されていないため、 "サーバ側言語"です。実行され、結果が出力されます。 – Shea
@andrewjacksonですが、私は 'search_data.php?id = 394&pass = 493202'のようなことをして誰かにURLで遊ぶチャンスを与えない方がいいです。それは合理的ではないですか? – Norse