Come indicato sopra, il file .ini potrebbe non essere più o meno sicuro rispetto all'archiviazione in un file .php. Tuttavia, una cosa da considerare è che quando si utilizza il file .ini, questa impostazione è effettivamente globale per qualsiasi codice PHP e tutti i siti Web. L'utilizzo del file .ini può influire su altri codici per i quali si desidera utilizzare un utente diverso.
Nel complesso, è probabilmente la migliore pratica di sicurezza NON utilizzare un file .ini per memorizzare la password, semplicemente perché ora è aperta a chiunque memorizzi file PHP sul server. Lo rende anche un po 'complicato se improvvisamente hai bisogno di dare più siti o applicazioni per un sito di accessi diversi (per database separati). Non è consigliabile utilizzare un accesso per più database, ad eccezione dell'utente root che deve essere utilizzato solo a fini amministrativi.
fonte
2012-01-29 01:35:10
+1 per suggerire di mantenere il file al di fuori della docroot. Questo riduce la superficie di attacco attraverso altre vulnerabilità comuni. – Cheekysoft