我应该将包含 smtp 凭据的 php 文件放在哪里？答案

【问题标题】：Where should I put my php files that contain smtp credentials?我应该将包含 smtp 凭据的 php 文件放在哪里？
【发布时间】：2014-07-16 04:18:16
【问题描述】：

我已经四处寻找这个答案，并找到了一些“解决方案”，但我认为我不太了解如何完成此操作。我刚刚完成了一个查询移动站点，其中包含 11 个用于邮寄表单提交的不同 PHP 文件。这是我的第一个移动“站点”，起初我并不太关心安全性，更多的功能。好吧，现在一切正常，我需要担心将其锁定。这 11 个 PHP 文件与我的所有 HTML 文件位于同一目录中，它们包含用于提交电子邮件的 SMTP 凭据。我发现的一些解决方案说要在 webroot 之外找到这些文件，但我将如何在表单操作中引用它们？这是否意味着我应该只在根目录下创建一个子文件夹并将它们放在那里并引用它们而不是

<form method="post" action="bp-mail.php" enctype="multipart/form-data" data-ajax="false">

但现在喜欢

<form method="post" action="/scripts/bp-mail.php" enctype="multipart/form-data" data-ajax="false">

...或者它们是否需要位于网络服务器根目录“上方”的目录中？如果子文件夹是他们应该去的地方，我应该在目录上放置什么类型的权限以允许 html 页面仍然调用它们，但不允许使用某些网站抓取软件的人抓取它们？如果在根目录之上，路径语法应该如何在表单代码中？

【问题讨论】：

高于 webroot 是个好主意。示例：站点位于 /home/user/public_html 将您的凭据文件保存在 /home/user
我实际上已经在 Windows (IIS7) Web 服务器上安装了 PHP（这是错误的吗？），所以该站点位于 D:\Website\wwwroot\Mobile\ 所以我想我应该在 D:\Website\ 中存储一个 creds 文件，并可能按照以下建议对其进行解析？
是的，这似乎是对的，不，我不认为在 Windows 上使用 PHP 是一种失礼。您只需要注意一些特定于操作系统的差异。（不过我对 IIS 一无所知。）

标签： php security email credentials

【解决方案1】：

有两种类型的文件。直接与之交互的那些（您在 URL 中加载它们，它们在服务器上运行，然后它们向您显示响应），以及您从其他文件中包含的那些。

从表面上看，bp-mail.php 是您直接与之交互的文件。

此文件不应包含您的凭据。

如果 - 出于某种疯狂的原因 - Apache 停止将该文件解析为 PHP 并默认为纯文本（Facebook 曾经发生过一次），那么人们只会看到您的密码。

不酷。

将该文件放在网络路由之外，并使用$config = require(dirname(__DIR__).'/config.php'); 或类似的简单方法来包含该文件，然后只需引用该文件中的变量即可。

该配置文件可能如下所示：

<?php 

return [
    'smtp' => [
        'username' => '',
        'password' => '',
    ],
];

然后在bp-mail.php 中，您可以使用$config['smtp']['username'];，如果有人以纯文本形式看到它，那么谁在乎呢。

【讨论】：

哦，效果很好（在调试了“config.php”文件的一些权限问题之后）。我什至将收件人和发件人电子邮件地址添加到该配置文件中，以防止它们落入垃圾邮件发送者/垃圾邮件发送者的手中。我的朋友，这就是我所说的……非常感谢！