我有同样的问题,最初
includes(即防止偶然的 PHP 代码直接从 Web 文件中显示)然后出现了另一个想法,有点复杂但仍然很可行
但这相当昂贵 - C 速度很快,但一直通过系统加载密码很昂贵。因此,将 APC 添加到游戏中会使整个事情变得更容易和更快
算法
Check if APC variables are set
If yes use them
If no load them from C program, only once
php-fpm的 fpm 配置(只能由root读取)中设置一个环境变量最后,您还可以创建自己的 PHP 扩展,提供来自 C 代码的数据(扩展通常用 C 编写)。这是一些扩展文档。
这不是如何防止密码窃取的最终答案,但至少它会使黑客更难确定密码 - 并且还需要更多的知识。
我知道的大多数系统都有一个受 .htaccess 保护的包含文件。在里面定义一个配置数组并完成。也许不是最安全的方法,但许多商店、CRM 和其他网络服务都这样做。
首先,我想说,除非您的 PHP 应用程序需要它,否则尽可能地限制应用程序的数据库帐户的权限(例如:对适当表的读取权限,也许尽可能少的写入权限)。如果您的应用程序需要管理员访问权限来创建表等,那完全是“另一罐蠕虫”。
其次,正如 ring0 建议的那样,不要以纯文本形式存储数据库密码。我建议使用散列 API 来存储密码的散列,例如:https ://gist.github.com/nikic/3707231 。当然,哈希可能最好存储在其他第三个位置(至少是一个单独的文件)。如果您的用户是值得信赖的,并且您可以找到一种方法,则可以根据用户的登录信息计算散列,但这可能需要在您的密码文件中为每个用户单独输入(因为每个散列的数据库密码都是不同的)。
从来没有万无一失的方法,我也不是安全专家,但我知道纯文本总是不利于存储密码,所以我认为这是朝着正确方向迈出的一步。
你的解决方案很好。
大多数建议的解决方案都被夸大了,尽管它们可能会提高安全级别,但不值得付出额外的努力。
因为安全不应只依赖于密码的保密性。充其量,即使密码被泄露,它的知识对于攻击者来说也毫无价值,因为他无法使用它。
这意味着,使用专用于您的应用程序的 MySQL 用户,其权限遵循最小权限原则,并且只允许从该应用程序的 Web 服务器访问数据库(请参阅MySQL 访问权限系统)。