PHP数据库配置防泄露，敏感信息移出根目录

PHP数据库配置文件若置于Web根目录（如/public或/htdocs）下，一旦服务器配置异常（如PHP模块崩溃或后缀未解析），攻击者可直接通过URL访问并获取明文数据库密码——这并非理论风险，而是已发生上百次的真实泄露根源；正确做法是将config.php移至Web不可访问的上层目录（如/config/），由public/index.php通过相对路径安全加载，并辅以Apache/Nginx的严格deny规则拦截敏感扩展名，进阶方案还可采用环境变量注入实现零文件落地，三重防护（路径隔离+服务器规则+系统权限）缺一不可。

直接把 config.php 放进 /public 或 /htdocs 就是最大风险点——只要 Web 服务器配置稍有偏差（比如 PHP 模块崩溃、后缀未被解析），用户访问 /config.php 就会原样输出数据库账号密码。这不是“可能”，而是真实发生过上百次的泄露根源。

为什么不能让配置文件在 Web 可访问路径下

Web 根目录（如 Apache 的 DocumentRoot 或 Nginx 的 root）里的所有文件，默认都可能被 HTTP 直接请求。哪怕你没主动链接它，攻击者也能用扫描器批量探测：/config.php、/database.php、/settings.inc……一旦匹配到常见命名，且服务器没正确解析 PHP，就直接返回明文。

更隐蔽的风险是：开发时临时加的 phpinfo()、print_r($config) 或调试注释，也会随配置文件一起暴露。

正确的目录结构与加载方式

必须把代码和 Web 入口物理隔离：

• 应用根目录设为 /var/www/myapp/（不可通过 URL 访问）
• Web 入口仅保留 /var/www/myapp/public/，并将其设为服务器的 DocumentRoot
• 把 config.php 放在 /var/www/myapp/config/ 或 /var/www/myapp/app/ 这类上层目录中
• 在 public/index.php 中用绝对路径或相对上级路径包含：require __DIR__ . '/../config/config.php';

注意：__DIR__ 是当前文件所在目录，public/index.php 执行时能读取上级目录，但浏览器无法跨出 public/ 去请求它——这是操作系统权限 + Web 服务器路径限制双重保障。

Apache 和 Nginx 必须补的兜底规则

即使目录结构正确，也不能依赖“没人会猜路径”。必须显式禁止对敏感扩展名的访问：

• Apache（写在 .htaccess 或虚拟主机配置里）：Order Allow,Deny
• Nginx（写在 server 块内）：location ~ \.(env|ini|dist|bak|log|sql|yml|yaml|xml|json|conf|cfg|inc)$ { deny all; }

特别注意：.inc 文件常被误认为“只是包含文件”，但若未被 PHP 解析，就会以纯文本返回——很多老项目仍沿用 db.inc 命名，必须拦住。

环境变量替代法（适合 Docker / 云部署）

当连 config.php 都不想落地时，用环境变量加载最干净：

• 删掉所有硬编码的 $host = 'localhost';，改用：$host = $_ENV['DB_HOST'] ?? getenv('DB_HOST');
• Docker 启动时传入：-e DB_HOST=10.0.1.5 -e DB_PASSWORD=xxx
• 或用 .env 文件（确保该文件被上面的 deny all 规则拦截，且不提交到 Git）

这种做法绕过了文件读取环节，也规避了「配置文件权限设错」的问题——但要注意，getenv() 在某些 PHP-FPM 模式下默认禁用，需检查 variables_order 是否含 E。

最容易被忽略的一点：config.php 自身如果用了 die() 或 exit() 防止直接访问，是无效的——因为它是被 require 进来的，不是独立执行入口；真正起作用的，只有路径隔离 + Web 服务器拒绝规则 + 系统文件权限三者叠加。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~