Las prácticas comunes para este problema incluyen colocar las credenciales de la base de datos en un archivo de configuración que no sea PHP, como un archivo .ini, y luego leerlo con PHP. Para agregar seguridad adicional, también debe colocar el archivo de configuración fuera de la raíz web, para que pueda estar seguro de que nadie puede acceder al archivo navegando directamente hacia él.
Por ejemplo, el framework Laravel (entre otros) define la raíz web en el directorio /public, mientras que fuera de ese directorio hay un .env
archivo que contiene las credenciales de la base de datos, entre otras configuraciones.
Eche un vistazo aquí para obtener más información:Cómo asegurar contraseñas de base de datos en PHP?
Sin embargo, lo que es más importante, nunca debería tener que preocuparse de que su PHP se sirva como texto sin formato. Tome las precauciones de desarrollo adecuadas para asegurarse de que esto nunca suceda. Algunos puntos de partida son:
- ¡Asegúrate de tener PHP instalado!
- Asegúrese de abrir y cerrar sus etiquetas correctamente
- Asegúrese de que la extensión de su archivo sea
.php
y no.html
(a menos que use este trabajo ) - Asegúrese también en el código de producción de no mostrar errores en la página (display_errors ini)