最好不要用.inc作为扩展名,如果破坏者知道你的密码文件位置,而php.ini中有没有设置好的话这样的文件是可以被下载过来的。
用.php作为扩展名是比较安全的做法,将host,user,password分别以变量的形式存放在这个PHP文件中,需要的时候include一下。
一般说来,为了安全,大部分的数据库都只对localhost或是内部的IP(比如说192.168.0.X)开放,所以,即使他知道了你的密码也无妨。不过很多空间的数据库用户名,密码是和FTP一样的,这样的话如果……嘿嘿,后果可想而知
综上所述,最好注意一下。
如果觉得我说得对,请给分 :)

解决方案 »

  1.   

    同意楼上,放在php文件中,安全一些,而且使用起来也简单。
      

  2.   

    对于虚拟主机用户,网站安全的关键在于你的目录与文件系统的管理(也只能做这些了)应该把你的数据按重要性分成不同的等级,对应放在不同深度的目录首页放根目录:/index.htm
    /index.php用户直接访问的 PHP 文件放在一级子目录,例如:/action/*.php
    目录属性: r-x-----x
    文件属性: r-------- (注意:互联网用户对 PHP 文件没有任何权限!)一些涉及密码、加密方式、关键数据的文件放在二级子目录,而且取个尽量生僻的名字,例如:/action/a71u3ku9c1/*.php
    目录属性: r-x------ (注意:此目录对互联网用户不可见!)
    文件属性: r--------在 /action/*.php 中,用 include, require 包含这些文件。一般来说,采取这些措施,安全性就差不多了
    如果这些还不安全(对于厉害的黑客),作为虚拟主机用户,你根本就无能为力
      

  3.   

    如果 /action/ 下全是 .php 文件,权限甚至可以设置为:r-x------