Originariamente inviato da Leonraf
Grazie mille per la risposta! diciamo che programmando il sito web una idea mi è venuta in mente, ovvero quando ci sta ad esempio la pagina di login, un utente inserisce nome utente e password, dopodichè il sito web, appena lui clicca login, invia i dati al server. Per fare questo si utilizza il comando mysql_connect("server", "nome utente mysql", "password mysql"), quindi se uno riuscisse a scaricare già solo il file che collega il login dell'utente al server, vedrebbe questa riga e conoscerebbe nome utente e password del database del server e quindi potrebbe creare "casini" nel mio database... quindi la mia domanda è, esiste questa possibilità? è molto alto il rischio? se si, come posso evitare che succeda?
Spero di aver reso bene l'idea... se ci sono dei dubbi posso spiegarmi meglio... Grazie ancora a tutti per le eventuali risposte.
Generalmente i database non accettano connessioni se non da una macchina specifica (nella maggior parte dei casi in hosting e' la stessa macchina che fa girare webserver e database server) o da una rete controllata, raramente accettano connessioni dirette dall'esterno. In questo modo conoscere le credenziali di accesso al database serve a poco visto che non ci si puo' collegare.

L'eventualita' di ottenere il codice sorgente di un file PHP e' comunque piuttosto remota (presuppone un'errata configurazione del webserver) ma comunque per proteggersi anche da questa eventualita' e' buona norma mettere file con dati sensibili fuori dalla document root (la directory a cui il webserver accede per trovare le risorse da restituire ai client).