我的网站有一个 config.php 文件,该文件存储在可公开访问的 Web 目录之外,它包含我用来为该网站发送邮件的 gmail 帐户的密码信息和我的数据库连接凭据。我不喜欢将密码保存为纯文本变量的想法,并且正在寻找某种方法来更安全地保存这些数据。除了阻止我以外的用户对目录的读取访问之外,我还能做些什么来保护这些信息?
问问题
209 次
2 回答
3
大多数情况下,您最终将保存为纯文本。比如说你想加密,然后解密的密钥必须以纯文本等形式保存。所以最好确保你的服务器是安全的。
于 2012-10-18T00:53:35.320 回答
1
取决于您要保护的内容。
将文件保存在 htdocs(webroot 目录)之外通常是一个好主意,这样就不能从外部显式调用该文件。(IE 将浏览器指向它)。
如果你想保护你的代码中的 $var (即第三方恶意代码),你总是可以在变量被使用后取消设置它们,尽管我不知道这是否有很大的不同。
如果您想保护文件免受可能“入侵”您的服务器的人的侵害,那么您无能为力。您始终可以设置文件权限,以便只有 www-data (您的 apache 用户)可以读取它,但如果有人获得您机器的 root 访问权限,那么您就完蛋了。
无论如何,如果您的服务器是安全的(没有远程 root 访问权限或仅通过带有公钥/私钥的 shh 访问,您不会从公共 PC 访问您的服务器,等等...),您不会在未检查的情况下使用第三方代码首先,您将 pass 文件存储在 webroot 目录之外,我认为您尽可能安全。
于 2012-10-18T00:55:20.843 回答