我需要在我的 PHP 应用程序中保存第三方应用程序密码,以便在后台进程中连接到 API。我需要将密码存储在数据库中,密码适用于应用程序的每个用户。但我不知道保存它以供以后检索的正确方法是什么。
我不想在没有加密的情况下保存密码,但我不知道哪种方法是最好的方法(也很容易)
任何想法?
问问题
671 次
1 回答
2
除非有某种可用于 API 的 OAuth 机制,否则您最好将其存储为纯文本。一旦攻击者可以访问加密形式的密码,那么他们很可能可以访问解密它的代码。
我的首选方法是:
inc.credentials.php
<?php
$app_creds = array(
'username' => 'sammitch',
'password' => 'isgreat'
);
实际代码.php
<?php
require('inc.credentials.php');
app_login($app_creds['username'], $app_creds['password']);
unset($app_creds);
- 始终使用通过 PHP 解释器运行的文件扩展名,以便文件不会以纯文本形式提供。
- 始终不要关闭关闭,
?>以免意外输出任何内容。[最有可能的空白] unset()主要是偏执狂,但只是在代码注入的情况下。
于 2013-02-21T21:30:00.977 回答