Mysql

MySQL使用者:傳入roundcube php配置

  • October 23, 2014

使用 user:pass 作為明文進行 MySQL 查詢是否被認為是不好的做法?

我現在正在這樣做(在 nginx/roundcube 中修改我的 dovecot 密碼)但這看起來很奇怪,因為如果我在伺服器上有其他系統使用者,他們可以導航到配置,讀取名稱/密碼文件並刪除密碼雜湊和/或添加他們自己的。

建議的修復是否將任何敏感文件簡單地設置為 700 權限?我不確定網路伺服器上的某些文件有多靈活?

如果有人可以為我解決這個問題,那就太好了:-)

風險在一定程度上取決於您執行 PHP 的方式以及當時支持的文件系統權限。

至於明文密碼,據我所知,還沒有辦法避免在某處使用明文密碼。

從 MySQL 5.6 開始,您擁有MySQl 配置編輯器,它允許您加密 MySQL 登錄憑據,因此它們不再以明文形式儲存,但據我所知,典型的 PHP MySQL 庫還不會使用它,而且它更容易混淆而不是真正的不可逆雜湊。

引用自:https://serverfault.com/questions/638188