Les pratiques courantes pour ce problème consistent à placer les informations d'identification de la base de données dans un fichier de configuration qui n'est pas PHP, tel qu'un fichier .ini, puis à le lire avec PHP. Pour ajouter une sécurité supplémentaire, vous devez également placer le fichier de configuration en dehors de la racine Web, afin que vous puissiez être sûr que personne ne peut accéder au fichier en y accédant directement.
Par exemple, le framework Laravel (entre autres) définit la racine web dans le répertoire /public, tandis qu'en dehors de ce répertoire se trouve un .env
fichier contenant les informations d'identification de la base de données, entre autres paramètres.
Jetez un œil ici pour plus d'informations :Comment sécuriser mots de passe de base de données en PHP ?
Plus important encore, vous ne devriez jamais avoir à vous soucier du fait que votre PHP soit servi en texte brut. Prenez les précautions de développement appropriées pour vous assurer que cela ne se produise jamais. Voici quelques points de départ :
- Assurez-vous que PHP est installé !
- Assurez-vous d'ouvrir et de fermer correctement vos balises
- Assurez-vous que l'extension de votre fichier est
.php
et non.html
(sauf si vous utilisez ce travail autour ) - Assurez-vous également dans le code de production que vous n'affichez pas d'erreurs sur la page (display_errors ini)