PHP 脚本的安全性差异：嵌入 HTML 还是单独的文件？

Posted 2023-02-25

【中文标题】PHP 脚本的安全性差异：嵌入 HTML 还是单独的文件？

【英文标题】：Difference in Security of PHP Scripts: Embedded in HTML or Separate File?

【发布时间】：2015-07-14 00:31:06

【问题描述】：

标题几乎说明了一切。将 php 脚本嵌入到 html 页面中更好，还是有一个单独的 PHP 脚本文件更好？哪个更安全？为什么？在查看这个 SE 时，我看到了很多关于如何以一种或另一种方式做到这一点的帖子，但没有太多比较它们。

我正在使用 LAMP 和 Wordpress，但 WordpressSE 的人说，既然这是一个 PHP 问题，最好在这里问。

更新：好的，第一个小时内 5 次反对票告诉我这不是一个好问题。答案很明显吗？答案在 SE 的其他地方吗？这真的是一个愚蠢的问题吗？很抱歉浪费大家的时间，我只是想在过去几天的搜索后弄清楚这一点。也许我没有问对问题。

【问题讨论】：

安全性没有区别。真正的好处在于尽可能将 HTML 与 PHP 解耦。

@JayBlanchard 解耦是什么意思？对我来说，解耦意味着 PHP 脚本在一个单独的文件中，但显然我错了。

在这种情况下，解耦来自于从 HTML 代码中删除尽可能多的 PHP，这通常意味着单独的文件。

@JayBlanchard 不确定我是否关注。你能澄清一下吗？您的第一条评论说这两种方法之间没有区别，但也说解耦有好处，即使用单独的文件。这是否意味着使用单独文件的好处不是安全性？如果有，有什么好处？

维护和在需要时快速更改代码的能力。

【参考方案1】：

我认为 php 的放置位置不会有太大的安全影响，但是它确实考虑了以下代码区域：

可读性 可测试性 结构

根据您在 .html 或 .php 中的问题，它位于服务器端，因此确保服务器配置或 .htaccess 非常重要。在hiding php 安全中阅读有关.htaccess 配置的更多信息。

但是，请谨慎处理表单，以下链接是用于了解可能风险的指南和参考。

List of security measures in PHP Form processing in PHP