私は、MagentoがMySQL接続の詳細をdocrootの上で保護されていないXMLファイルに保存していることに気付きました。これは....かなり危険です。サイトルートのPHPサイトのXMLファイルに設定変数を格納するのが危険ですか?
XMLは、設定データを保存する便利な方法のようですが、1つのことを除いて、http://www.domain.com.au/library/config.xmlを入力するとあなたの個人情報が表示されます!
XMlファイルを使用してこれを.htaccessファイルに追加しました。
今<Files ~ "\.xml$"> // regex files that end with xml extension
Order allow,deny
Deny from all // don't show them
</Files>
私はは今、私もわからないんだけど、この満足していました。 .htaccessファイルが誤って削除/壊れている場合(人間のエラー以外にも起こります)、いつか私は非Apacheサーバーにアプリケーションを置いていますか...すべてのサーバーにXMLファイルをブロックする機能がありますか?もしそうであれば、.htaccessのようなフォルダレベル(httpd.confファイルだけでなく)で変更することができます。
私の質問は... XMLの便利さ(更新が容易で、悩まされたくないデザイナーは怖い気がしません)が潜在的な問題(プライベートデータを公開する)よりも重要ですか?
しかし、Wordpressはdefine()を使います。 – alex
これは、人々がWebルートからディレクトリにアクセスできない可能性があるためです。 PHPフレームワークを見ると、configファイルやアプリケーションロジックをWebルートの外に保存することをお勧めします。 –
私はちょうど私のJoomlaのconfiguration.phpファイル(2007年)を見て、クラスを持っているConfig – alex