Config.php 文件有明文的 Mysql 密碼，這樣做明智嗎？

標題基本上說明了一切，安裝我的客戶購買的 CRM 產品/前端 (SugarCRM) 時創建的預設 config.php 文件以純文字形式儲存了 MySQL db 使用者的密碼？

有什麼好的方法來加密密碼本身，這樣它就不僅僅是放在容易閱讀的文件中了嗎？

還是只是如果有人已經可以訪問該文件，那麼您已經陷入了麻煩，因為他們已經在您的系統中？

只是想知道這種情況的最佳實踐是否/是什麼？

Web 應用程序的配置文件通常以純文字形式包含秘密。

大多數雲託管供應商 (IaaS/PaaS) 支持在啟動實例時傳遞自定義數據，以便它們可用作環境變數。但是，必須修改應用程序以支持從環境變數中讀取機密。參考 Heroku 的一個例子。

有什麼好的方法來加密密碼本身，這樣它就不僅僅是放在容易閱讀的文件中了嗎？

文件的權限不應該是世界可讀的。

還是只是如果有人已經可以訪問該文件，那麼您已經陷入了麻煩，因為他們已經在您的系統中？

是的。訪問系統是一個將死的情況。強化系統是第一步。必須在所有層、應用程序、數據庫、作業系統、網路等進行加固。

請記住，安全是一個不斷變化的目標，永遠不會完成。

引用自：https://serverfault.com/questions/824472