4

我已经看到很多关于将硬编码的敏感信息(API 密钥字符串、数据库密码)作为安全环境变量保存的文章。我对这个概念有点陌生,虽然我已经看到了很多关于 rails 的内容,但在 PHP 方面并没有那么多。

甚至PHP FOG在为用户创建初始 mysql DB 信息时也使用这种类型的设置。

我真的不明白这是在哪里设置的,以及如何使用任何特定的 php 网页/应用程序检索它。我真的从诸如保持我的交易电子邮件 API 密钥和其他信息在多个页面中安全和可用的角度来看待这个问题。

例如,如果我只是创建一个 config.php 文件并将其放在我的站点根目录中,这与直接在我的代码中调用密钥有什么不同吗?应该在哪里设置环境变量以及调用它们的最有效方法是什么?我也很好奇这与 SESSION 变量有何不同?

注意:我正在运行一个与 Nginx 配对的 LAMP 堆栈。

更新 1: 其中一位用户倾向于反对使用环境变量而只在“非公共”文件中使用,但我真的看不出这有什么不同。

更新 2:也发现了这篇文章,从 Windows 的角度来看,这似乎具有一般意义(假设 *nix 需要更改 php 包含路径?)。同样,这样做有什么好处,而不是直接将 API 密钥硬编码到 PHP 脚本中?

4

1 回答 1

0

我想说这更像是一种系统集成,而不是与具体安全性相关。

环境变量可用于创建脚本运行的上下文。然后脚本本身将这些作为(隐藏的)依赖项。

因此,您可以在不同的环境(环境设置)中执行相同的脚本,而无需更改任何一行代码(包括但不限于)基于 php 的配置文件。

例如,当您自动部署脚本时,部署系统通常能够设置环境变量,因为原理是通用的。您不需要修改部署脚本,以便他们知道您的特定配置文件,以便他们可以更改它们。

从安全的角度来看,没有太大的区别。环境变量可以公开访问,也可以访问脚本内的全局变量。

于 2012-11-27T22:11:39.777 回答