PHP Сигурност Част 1

В една серия от постове озаглавени „PHP Сигурност“ смятам да споделям различни методи за да подсигурите вашите онлайн приложения. Надявам се те да бъдат полезни както за начинаещи така и за напреднали програмисти, занимаващи се с PHP.

В тази част ще поговря за include на файлове. Всъщност include, require, require_once са невероятни функции на PHP и са изключителни за обекто-ориентирания метод на създаване на сайтове и проложения, а и не само. Масовата практика е файловете, които инклудвате да са с разширение .inc, макар че съм срещал и .inc.php и .php или файл името да започва с долна черта (пример __header.php). В интерес на истината няма голямо значение какво е разширението. Ако желаете може да бъде .vafla-borovec. Обикновено това се прави за удобсто и семантика. Но големия проблем в случая е, че .inc файловете не се изпълняват като скрипт на момента и могат да бъдат видяни като чист текст. Да речем че имате файл с връзка към базата ви данни наречен db.inc. При положение, че не сте подсигурили този файл е вдиим и много лесно ще бъдете хакнати.