Negli script PHP che comunicano con il database ho il nome utente e la password nel database in testo semplice, cioè mysqli_connect('localhost:3306', 'root', 'PASSWORD!')
. Da OWASP
Do not include any credentials in your source code, including (but not limited to) usernames, passwords...
Come può essere protetto? Inoltre come adesso ogni script ha lo stesso codice per la connessione al database, quindi sto pensando di creare uno script (base.php) e includerlo in everypage che interroga il database. Va bene o è un rischio per la sicurezza? Se la mia descrizione non è chiara, sto fondamentalmente pensando di copiare ciò che fa Cameron Laird con base in questa domanda .