Php

Config.php 文件有明文的 Mysql 密碼,這樣做明智嗎?

  • January 21, 2017

標題基本上說明了一切,安裝我的客戶購買的 CRM 產品/前端 (SugarCRM) 時創建的預設 config.php 文件以純文字形式儲存了 MySQL db 使用者的密碼?

有什麼好的方法來加密密碼本身,這樣它就不僅僅是放在容易閱讀的文件中了嗎?

還是只是如果有人已經可以訪問該文件,那麼您已經陷入了麻煩,因為他們已經在您的系統中?

只是想知道這種情況的最佳實踐是否/是什麼?

Web 應用程序的配置文件通常以純文字形式包含秘密。

大多數雲託管供應商 (IaaS/PaaS) 支持在啟動實例時傳遞自定義數據,以便它們可用作環境變數。但是,必須修改應用程序以支持從環境變數中讀取機密。參考 Heroku 的一個例子

有什麼好的方法來加密密碼本身,這樣它就不僅僅是放在容易閱讀的文件中了嗎?

文件的權限不應該是世界可讀的。

還是只是如果有人已經可以訪問該文件,那麼您已經陷入了麻煩,因為他們已經在您的系統中?

是的。訪問系統是一個將死的情況。強化系統是第一步。必須在所有層、應用程序、數據庫、作業系統、網路等進行加固。

請記住,安全是一個不斷變化的目標,永遠不會完成。

引用自:https://serverfault.com/questions/824472