Как обезопасить пароли базы данных в PHP?

Question

Как обезопасить пароли базы данных в PHP?

359

Когда приложение PHP создает соединение с базой данных, конечно, обычно требуется передать логин и пароль. Если я использую единственный доступ для минимального разрешения для своего приложения, тогда PHP должен знать где-то этот логин и пароль. Каков наилучший способ защитить этот пароль? Похоже, что просто писать его в PHP-код не очень хорошая идея.

user18359 19 сен. 2008, в 00:44

Источник

1

Чтобы обеспечить полную безопасность, вам необходимо настроить ssl-соединение, иначе любой пользователь в вашей сети все равно сможет прослушать введенный вами пароль.
Charles Ma 18 сен. 2008, в 23:31
1

Вы имеете в виду пароли пользователей или пароль базы данных, используемые в строке подключения?
Ozgur Ozcitak 18 сен. 2008, в 23:31
4

Пароль базы данных, используемый в строке подключения. Спасибо!
user18359 19 сен. 2008, в 00:29

Показать ещё 1 комментарий

Теги:

php

database

security

17 ответов

94

Если вы размещаете на чужом сервере и не имеете доступа к вашему веб-сайту, вы всегда можете поместить свой пароль и/или соединение с базой данных в файл, а затем заблокировать файл с помощью .htaccess:

<files mypasswdfile>
order allow,deny
deny from all
</files>

kellen 03 авг. 2009, в 19:10

3

Спасибо, это именно то, что я искал.
David Gladfelter 11 авг. 2009, в 14:48
0

Полезно, если это действительно безопасно, хотя кажется, что у входа в оболочку все равно будет доступ.
Kzqai 14 апр. 2010, в 16:10
26

Определенно, но если у кого-то есть доступ к оболочке, ваша учетная запись все равно будет взломана.
kellen 16 апр. 2010, в 18:59
0

Для этого нет реального решения. Любой может использовать функции дампа в файле, загрузить файл на рабочий сервер и выполнить его. Уууу ты получил все секреты производства сервера!
Ankit 08 фев. 2016, в 17:07
3

Это плохая практика, потому что вы можете случайно зафиксировать свои учетные данные в хранилище.
Porlune 07 июнь 2016, в 02:54
0

@Ankit: если не-дружественный пользователь может загрузить файл на сервер и выполнить его, значит, сервер не настроен должным образом.
kellen 07 июнь 2016, в 15:38
4

@Porlune: разработчики должны заставить свою систему контроля версий игнорировать файл паролей, то есть с помощью .gitignore. Но да, следует позаботиться о файлах, которые содержат конфиденциальные данные.
kellen 07 июнь 2016, в 15:41

Показать ещё 5 комментариев

35

Самый безопасный способ - не иметь информацию, указанную в вашем PHP-коде вообще.

Если вы используете Apache, это означает, что вы должны установить данные о соединении в файле httpd.conf или файлах виртуальных хостов. Если вы это сделаете, вы можете вызвать mysql_connect() без параметров, что означает, что PHP никогда не будет выводить вашу информацию.

Вот как вы указываете эти значения в этих файлах:

php_value mysql.default.user      myusername
php_value mysql.default.password  mypassword
php_value mysql.default.host      server

Затем вы открываете соединение с mysql следующим образом:

<?php
$db = mysqli_connect();

Или вот так:

<?php
$db = mysqli_connect(ini_get("mysql.default.user"),
                     ini_get("mysql.default.password"),
                     ini_get("mysql.default.host"));

Lars Nyström 16 апр. 2012, в 15:26

1

Пожалуйста, проверьте правильные значения ini_get («значения по умолчанию») php.net/manual/en/class.mysqli.php
Val 15 июнь 2012, в 13:08
0

Можно ли использовать это в их файле .htaccess?
user1193509 18 авг. 2012, в 17:49
0

@ user1193509 Да.
untill 15 нояб. 2015, в 08:43
4

да, но любой пользователь (или хакер, злоупотребляющий плохо написанным php-скриптом) может прочитать пароль через ini_get() .
Marki555 21 март 2016, в 17:50
1

@ Marki555, but any user (or a hacker abusing badly written php script) can read the password via ini_get() Как вы справляетесь с этим?
tonix 22 май 2016, в 10:20
1

Marki555 говорит, что злоумышленник, который может запускать код PHP, также может вызывать функции PHP, что, очевидно, является правдой, и с этим невозможно что-то сделать. Я также хотел бы добавить, что я больше не следую совету, который я даю в этом ответе, а вместо этого использую переменные среды. Концепция аналогична: не храните свои учетные данные в коде, а вводите их каким-либо образом. Не имеет значения, используете ли вы ini_get() или getenv() .
Lars Nyström 23 май 2016, в 08:32
0

@tonix, как уже написано, если «хороший» скрипт имеет доступ к паролю БД, то и «плохой» скрипт делает. Таким образом, ваша единственная возможность - обнаруживать такие сценарии и не разрешать их запускать, например, с помощью mod_security apache mod_security , хотя правильная настройка правил не так проста.
Marki555 23 май 2016, в 10:59
0

@ Marki555 Я могу подумать об использовании единой точки входа в соединение с БД, где я читаю пароль и имя пользователя базы данных и передаю их в механизм соединений, чтобы установить соединение с базой данных, а затем сбросить эти переменные. На этом этапе мне нужно остерегаться того, что все подталкивают к кодовой базе, и заверить, что в этом файле точек входа нет никаких изменений, и никто не пытается каким-то образом сбросить пароль базы данных. Это может быть достаточно?
tonix 24 май 2016, в 06:00
0

Передача файла конфигурации вне корневого каталога безопаснее, чем передача его в ini_get () или getenv (), которые могут быть внедрены и выполнены из любого места на веб-сайте.
DeepBlue 22 янв. 2017, в 22:21
0

@DeepBlue Если вы можете внедрить ini_get (), вы также можете внедрить file_get_contents (anypath). Пока у php есть способ получить пароль, так же как и любой вредоносный код.
varesa 16 апр. 2017, в 04:46
0

Я думаю, что это очень плохая идея , если на сервере есть phpinfo (), это приведет к утечке вашего пароля.
Chris Seufert 06 дек. 2017, в 09:14

Показать ещё 9 комментариев

35

Храните их в файле вне веб-корневого каталога.

da5id 18 сен. 2008, в 23:42

28

А также, как упоминалось в другом месте, за пределами контроля источника.
Frank Farmer 26 май 2009, в 20:46
4

мы сможем включить это? например, в PHP мы можем тогда include('../otherDirectory/configfile.conf') ?
mtk 05 янв. 2013, в 17:23
0

Вы все предлагаете хранить учетные данные за пределами wwwroot. Хорошо, я понимаю фон безопасности. Но как его хранить в контроле версий (пример конфигурации)? Обычно wwwroot является корнем git repo, поэтому, если есть что-то снаружи - это будет вне VC. Представьте, что новый разработчик пытается настроить локальный экземпляр для разработки - откуда ему знать магию типа «возьми этот файл, скопируй его наружу и заполни»?
The Godfather 10 авг. 2018, в 18:17

Показать ещё 1 комментарий

34

Для чрезвычайно безопасных систем мы шифруем пароль базы данных в файле конфигурации (который сам защищен системным администратором). При запуске приложения/сервера приложение затем запрашивает системный администратор для ключа дешифрования. Затем пароль базы данных считывается из файла конфигурации, дешифруется и сохраняется в памяти для будущего использования. Все еще не на 100% безопаснее, так как он хранится в дешифрованной памяти, но вы должны называть его "достаточно безопасным" в какой-то момент!

pdavis 19 сен. 2008, в 15:04

83

что если админ умрет?
Radu Murzea 03 май 2013, в 18:47
31

@RaduMurzea это смешно. Когда вы слышали о смерти Sys Admins? Они как Макдональдс, они просто появляются / исчезают из ниоткуда!
ILikeTacos 23 янв. 2015, в 18:43
13

@Radu Murzea У вас есть 2 или более администраторов, тогда у вас есть четность, как в массиве рейдов. Вероятность отказа нескольких дисков одновременно намного ниже.
element11 24 сен. 2015, в 15:23
5

а когда серверы перезагружаются? Как насчет времени, которое требуется, чтобы разбудить администратора, чтобы заставить его ввести пароль в ... etc.etc. лол
John Hunt 18 янв. 2016, в 11:52
0

Я на 100% согласился, что это был oracle weblogic с boot.properties
nurulhudamustaqim 31 авг. 2016, в 17:24
1

Не уверен, что вы подразумеваете под «хранится в памяти». Веб-приложения PHP обычно ничего не хранят в памяти дольше, чем время, необходимое для ответа на отдельный запрос на просмотр страницы.
bdsl 12 авг. 2017, в 10:16
0

@bdsl Redis или Memcache
user1119648 23 март 2018, в 12:12
0

@ element11 Только убедитесь, что они никогда не поедут в Макдональдс на обед вместе в одной машине!
David 05 сен. 2018, в 00:21

Показать ещё 6 комментариев

13

Это решение является общим, поскольку оно полезно как для открытых, так и для закрытых исходных приложений.

Создайте пользователя ОС для своего приложения. См. http://en.wikipedia.org/wiki/Principle_of_least_privilege
Создайте переменную среды (несезонной) ОС для этого пользователя с паролем
Запустите приложение как пользователь

Преимущества:

Вы не будете проверять свои пароли в исходном контроле случайно, потому что вы не можете
Вы случайно не испортите права доступа к файлам. Ну, возможно, но это не повлияет на это.
Может быть прочитан только root или этим пользователем. Root может читать все ваши файлы и ключи шифрования в любом случае.
Если вы используете шифрование, как безопасно хранить ключ?
Работает x-платформа
Обязательно не передавать envvar в ненадежные дочерние процессы.

Этот метод предложен Хероку, который очень успешен.

Neil McGuigan 23 дек. 2013, в 23:36

11

если возможно создать соединение с базой данных в том же файле, где хранятся учетные данные. Ввести учетные данные в инструкции connect.

mysql_connect("localhost", "me", "mypass");

В противном случае лучше отключить учетные данные после инструкции connect, поскольку учетные данные, которые не находятся в памяти, не могут быть считаны из памяти ;)

include("/outside-webroot/db_settings.php");  
mysql_connect("localhost", $db_user, $db_pass);  
unset ($db_user, $db_pass);

Bob Fanger 19 сен. 2008, в 21:17

9

Если у кого-то есть доступ к памяти, вы все равно облажались. Это бессмысленная фальшивая безопасность. За пределами webroot (или, по крайней мере, защищенный .htaccess, если у вас нет доступа выше вашего webroot), это единственный безопасный вариант.
uliwitness 23 сен. 2012, в 13:48
2

@uliwitness - Это все равно, что сказать, что если кто-то может взломать замок вашего сетевого операционного центра с помощью ацетиленовой горелки, это означает, что дверь также является поддельной защитой. Хранение конфиденциальной информации, связанной с самой узкой областью, всегда имеет смысл.
Luke A. Leber 09 янв. 2017, в 06:22
1

Как насчет echo $ db_user или печати $ db_pass? Даже разработчики в одной команде не должны быть в состоянии выяснить производственные полномочия. Код не должен содержать ничего для печати с информацией для входа в систему.
Mohammed Joraid 28 июнь 2017, в 15:40

Показать ещё 1 комментарий

7

Ваш выбор ограничен, так как вы говорите, что вам нужен пароль для доступа к базе данных. Один общий подход заключается в том, чтобы сохранить имя пользователя и пароль в отдельном файле конфигурации, а не в главном script. Затем обязательно сохраните это за пределами основного веб-дерева. Это было, если есть проблема с настройкой сети, которая оставляет ваши php файлы просто отображаемыми в виде текста, а не выполняется, вы не открыли пароль.

Кроме того, вы находитесь на правильных строках с минимальным доступом для используемой учетной записи. Добавьте к этому

Не используйте комбинацию имени пользователя и пароля для чего-либо еще.
Настройте сервер базы данных только для приема соединений с веб-узла для этого пользователя (локальный хост еще лучше, если БД находится на одном компьютере). Таким образом, даже если учетные данные отображаются, они никому не нужны, если у них нет других доступ к машине.
Обфускайте пароль (даже ROT13 будет делать) он не будет много защищать, если кто-то получит доступ к файлу, но, по крайней мере, это предотвратит его случайный просмотр.

Питер

Vagnerr 18 сен. 2008, в 23:40

5

Я думаю, что OP означает пароль базы данных.

Если кто-то не получает доступ к вашему серверу через FTP или SSH (в этом случае вы уже перегружены), я бы не стал беспокоиться о сохранении паролей в текстовом формате в файлах PHP. Большинство приложений PHP, которые я видел, делают это так, например phpbb.

Ryan Bigg 19 сен. 2008, в 01:20

5

Если вы используете PostgreSQL, он автоматически заглядывает в ~/.pgpass для паролей. Подробнее см. руководство.

Jim 19 сен. 2008, в 00:57

5

Поместите пароль базы данных в файл, сделайте его доступным только для чтения пользователю, обслуживающему файлы.

Если у вас есть какие-то средства, позволяющие процессу php-сервера обращаться к базе данных, это почти все, что вы можете сделать.

Chris 19 сен. 2008, в 00:09

4

Раньше мы сохраняли DB пользователя /pass в файле конфигурации, но с тех пор попадали в параноидальный режим - применяя политику защиты в глубину.

Если ваше приложение скомпрометировано, у пользователя будет доступ к чтению в ваш файл конфигурации, и есть вероятность, что взломщик сможет прочитать эту информацию. Файлы конфигурации также могут попасть в управление версиями или скопировать серверы.

Мы переключились на сохранение пользователя/пароля в переменных среды, установленных в Apache VirtualHost. Эта конфигурация доступна только для чтения root - надеюсь, ваш пользователь Apache не работает как root.

Кон таким образом, что теперь пароль находится в глобальной переменной PHP.

Чтобы смягчить этот риск, мы соблюдаем следующие меры предосторожности:

Пароль зашифрован. Мы расширяем класс PDO, чтобы включить логику для дешифрования пароля. Если кто-то читает код, где мы устанавливаем соединение, не будет очевидно, что соединение устанавливается с зашифрованным паролем, а не с самим паролем.
Зашифрованный пароль перемещается из глобальных переменных в закрытую переменную. Приложение делает это немедленно, чтобы уменьшить окно, доступное в глобальном пространстве.
phpinfo() отключен. PHPInfo - это легкая цель получить обзор всего, включая переменные среды.

Courtney Miles 15 фев. 2017, в 02:46

4

Если вы говорите о пароле базы данных, в отличие от пароля, поступающего из браузера, стандартная практика, похоже, заключается в том, чтобы поместить пароль базы данных в файл конфигурации PHP на сервере.

Вам просто нужно убедиться, что файл php, содержащий пароль, имеет соответствующие разрешения. То есть он должен быть доступен только для веб-сервера и вашей учетной записи пользователя.

Jason Wadsworth 19 сен. 2008, в 00:03

1

К сожалению, PHP-файл конфигурации может быть прочитан phpinfo (), и если кто-то оставит какой-нибудь тестовый скрипт позади, удачливый злоумышленник сможет прочитать пароль. Вероятно, лучше оставить пароль подключения в файле за пределами корневого каталога веб-сервера. Тогда единственный способ получить к нему доступ - либо с помощью оболочки, либо путем выполнения произвольного кода, но в этом случае вся безопасность теряется в любом случае.
MarioVilas 27 апр. 2014, в 18:51

3

Мы решили это следующим образом:

Использование memcache на сервере с открытым подключением с другого сервера паролей.
Сохранить в memcache пароль (или даже весь файл password.php зашифрованный) плюс ключ дешифрования.
Веб-сайт вызывает ключ memcache, содержащий парольную фразу парольного файла и дешифрует в памяти все пароли.
Сервер паролей отправляет новый зашифрованный файл паролей каждые 5 минут.
Если вы используете зашифрованный пароль .php в своем проекте, вы отправляете аудит, проверяющий, был ли этот файл затронут внешне - или просмотрен. Когда это произойдет, вы автоматически сможете очистить память, а также закрыть сервер для доступа.

Asi Azulay 28 авг. 2016, в 18:14

3

Лучший способ - не хранить пароль вообще!
Например, если вы находитесь в системе Windows и подключаетесь к SQL Server, вы можете использовать встроенную аутентификацию для подключения к базе данных без пароля, используя текущий идентификатор процесса.

Если вам нужно подключиться к паролю, сначала зашифровать, используя сильное шифрование (например, используя AES-256, а затем защитить ключ шифрования или использовать асимметричное шифрование и защитить ОС сертификат), а затем сохраните его в файле конфигурации (вне веб-каталога) с сильными ACL.

AviD 20 сен. 2008, в 23:10

3

Нет смысла снова шифровать пароль. Кто-то, кто может получить незашифрованный пароль, может также получить любой пароль, необходимый для расшифровки пароля. Однако использование ACL & .htaccess - хорошая идея.
uliwitness 23 сен. 2012, в 13:46
2

@uliwitness Я думаю, что вы, возможно, неправильно поняли - что вы подразумеваете под « снова зашифровывать»? Это всего лишь одно шифрование. И вы не хотите использовать парольные фразы (предназначенные для использования человеком) для его шифрования, достаточно сильное управление ключами, например, защищенное ОС, таким образом, что простой доступ к файловой системе не предоставит доступ к ключу.
AviD 23 сен. 2012, в 15:29
3

Шифрование не волшебство - вместо защиты ключа AES с помощью ACL вы можете просто сохранить пароль там. Нет никакой разницы между доступом к ключу AES или расшифрованному паролю, шифрование в этом контексте - просто змеиный жир.
MarioVilas 27 апр. 2014, в 18:47
0

@MarioVilas что? Если пароль зашифрован, а ключ шифрования защищен ОС, то в чем разница? Шифрование не волшебство - оно просто уплотняет всю секретность в меньший ключ шифрования. Вряд ли snakeoil, в этом контексте он просто перемещает всю эту секретность в ОС.
AviD 28 апр. 2014, в 06:25
6

@ AviD Почему ОС может защитить ключ, но не сами данные? Ответ: он может защитить оба, поэтому шифрование не очень помогает. Было бы иначе , если только данные были сохранены , и ключ шифрования был получен, например, из пароля , который должен был быть введен пользователем.
MarioVilas 22 сен. 2014, в 10:45

Показать ещё 3 комментария

3

Дополнительный трюк заключается в использовании отдельного файла конфигурации PHP, который выглядит следующим образом:

<?php exit() ?>

[...]

Plain text data including password

Это не мешает вам правильно устанавливать правила доступа. Но в случае взлома вашего веб-сайта "require" или "include" просто выйдут из script в первой строке, поэтому еще труднее получить данные.

Тем не менее, никогда не позволяйте конфигурационным файлам в каталоге, доступ к которому можно получить через Интернет. У вас должна быть папка "Веб", содержащая код вашего контроллера, css, картинки и js. Все это. Все остальное отправляется в автономные папки.

e-satis 19 сен. 2008, в 14:28

0

но тогда как скрипт php считывает учетные данные, хранящиеся в файле?
Christopher Mahan 22 янв. 2009, в 08:40
2

Вы используете fopen (), как для обычного текстового файла.
e-satis 23 янв. 2009, в 14:56
2

@ e-удовлетворительно хорошо, это помешает хакеру require / include но как запретить делать fopen ?
dmnc 23 окт. 2013, в 12:26
0

«это не мешает вам правильно устанавливать правила доступа»
e-satis 23 окт. 2013, в 12:36

Показать ещё 2 комментария

3

Просто поместить его в конфигурационный файл где-то так, как обычно. Просто убедитесь, что вы:

запретить доступ к базе данных с любых серверов за пределами вашей сети,
старайтесь не показывать пароль пользователям (в сообщении об ошибке или через файлы PHP, случайно выполняемые как HTML и т.д.).

Marijn 19 сен. 2008, в 01:24

Ещё вопросы

Чтобы обеспечить полную безопасность, вам необходимо настроить ssl-соединение, иначе любой пользователь в вашей сети все равно сможет прослушать введенный вами пароль.
Вы имеете в виду пароли пользователей или пароль базы данных, используемые в строке подключения?
Пароль базы данных, используемый в строке подключения. Спасибо!
Спасибо, это именно то, что я искал.
Полезно, если это действительно безопасно, хотя кажется, что у входа в оболочку все равно будет доступ.
Определенно, но если у кого-то есть доступ к оболочке, ваша учетная запись все равно будет взломана.
Для этого нет реального решения. Любой может использовать функции дампа в файле, загрузить файл на рабочий сервер и выполнить его. Уууу ты получил все секреты производства сервера!
Это плохая практика, потому что вы можете случайно зафиксировать свои учетные данные в хранилище.
@Ankit: если не-дружественный пользователь может загрузить файл на сервер и выполнить его, значит, сервер не настроен должным образом.
@Porlune: разработчики должны заставить свою систему контроля версий игнорировать файл паролей, то есть с помощью .gitignore. Но да, следует позаботиться о файлах, которые содержат конфиденциальные данные.
Пожалуйста, проверьте правильные значения ini_get («значения по умолчанию») php.net/manual/en/class.mysqli.php
Можно ли использовать это в их файле .htaccess?
да, но любой пользователь (или хакер, злоупотребляющий плохо написанным php-скриптом) может прочитать пароль через ini_get() .
@ Marki555, but any user (or a hacker abusing badly written php script) can read the password via ini_get() Как вы справляетесь с этим?
Marki555 говорит, что злоумышленник, который может запускать код PHP, также может вызывать функции PHP, что, очевидно, является правдой, и с этим невозможно что-то сделать. Я также хотел бы добавить, что я больше не следую совету, который я даю в этом ответе, а вместо этого использую переменные среды. Концепция аналогична: не храните свои учетные данные в коде, а вводите их каким-либо образом. Не имеет значения, используете ли вы ini_get() или getenv() .
@tonix, как уже написано, если «хороший» скрипт имеет доступ к паролю БД, то и «плохой» скрипт делает. Таким образом, ваша единственная возможность - обнаруживать такие сценарии и не разрешать их запускать, например, с помощью mod_security apache mod_security , хотя правильная настройка правил не так проста.
@ Marki555 Я могу подумать об использовании единой точки входа в соединение с БД, где я читаю пароль и имя пользователя базы данных и передаю их в механизм соединений, чтобы установить соединение с базой данных, а затем сбросить эти переменные. На этом этапе мне нужно остерегаться того, что все подталкивают к кодовой базе, и заверить, что в этом файле точек входа нет никаких изменений, и никто не пытается каким-то образом сбросить пароль базы данных. Это может быть достаточно?
Передача файла конфигурации вне корневого каталога безопаснее, чем передача его в ini_get () или getenv (), которые могут быть внедрены и выполнены из любого места на веб-сайте.
@DeepBlue Если вы можете внедрить ini_get (), вы также можете внедрить file_get_contents (anypath). Пока у php есть способ получить пароль, так же как и любой вредоносный код.
Я думаю, что это очень плохая идея , если на сервере есть phpinfo (), это приведет к утечке вашего пароля.
А также, как упоминалось в другом месте, за пределами контроля источника.
мы сможем включить это? например, в PHP мы можем тогда include('../otherDirectory/configfile.conf') ?
Вы все предлагаете хранить учетные данные за пределами wwwroot. Хорошо, я понимаю фон безопасности. Но как его хранить в контроле версий (пример конфигурации)? Обычно wwwroot является корнем git repo, поэтому, если есть что-то снаружи - это будет вне VC. Представьте, что новый разработчик пытается настроить локальный экземпляр для разработки - откуда ему знать магию типа «возьми этот файл, скопируй его наружу и заполни»?
@RaduMurzea это смешно. Когда вы слышали о смерти Sys Admins? Они как Макдональдс, они просто появляются / исчезают из ниоткуда!
@Radu Murzea У вас есть 2 или более администраторов, тогда у вас есть четность, как в массиве рейдов. Вероятность отказа нескольких дисков одновременно намного ниже.
а когда серверы перезагружаются? Как насчет времени, которое требуется, чтобы разбудить администратора, чтобы заставить его ввести пароль в ... etc.etc. лол
Я на 100% согласился, что это был oracle weblogic с boot.properties
Не уверен, что вы подразумеваете под «хранится в памяти». Веб-приложения PHP обычно ничего не хранят в памяти дольше, чем время, необходимое для ответа на отдельный запрос на просмотр страницы.
@ element11 Только убедитесь, что они никогда не поедут в Макдональдс на обед вместе в одной машине!
Если у кого-то есть доступ к памяти, вы все равно облажались. Это бессмысленная фальшивая безопасность. За пределами webroot (или, по крайней мере, защищенный .htaccess, если у вас нет доступа выше вашего webroot), это единственный безопасный вариант.
@uliwitness - Это все равно, что сказать, что если кто-то может взломать замок вашего сетевого операционного центра с помощью ацетиленовой горелки, это означает, что дверь также является поддельной защитой. Хранение конфиденциальной информации, связанной с самой узкой областью, всегда имеет смысл.
Как насчет echo $ db_user или печати $ db_pass? Даже разработчики в одной команде не должны быть в состоянии выяснить производственные полномочия. Код не должен содержать ничего для печати с информацией для входа в систему.
К сожалению, PHP-файл конфигурации может быть прочитан phpinfo (), и если кто-то оставит какой-нибудь тестовый скрипт позади, удачливый злоумышленник сможет прочитать пароль. Вероятно, лучше оставить пароль подключения в файле за пределами корневого каталога веб-сервера. Тогда единственный способ получить к нему доступ - либо с помощью оболочки, либо путем выполнения произвольного кода, но в этом случае вся безопасность теряется в любом случае.
Нет смысла снова шифровать пароль. Кто-то, кто может получить незашифрованный пароль, может также получить любой пароль, необходимый для расшифровки пароля. Однако использование ACL & .htaccess - хорошая идея.
@uliwitness Я думаю, что вы, возможно, неправильно поняли - что вы подразумеваете под « снова зашифровывать»? Это всего лишь одно шифрование. И вы не хотите использовать парольные фразы (предназначенные для использования человеком) для его шифрования, достаточно сильное управление ключами, например, защищенное ОС, таким образом, что простой доступ к файловой системе не предоставит доступ к ключу.
Шифрование не волшебство - вместо защиты ключа AES с помощью ACL вы можете просто сохранить пароль там. Нет никакой разницы между доступом к ключу AES или расшифрованному паролю, шифрование в этом контексте - просто змеиный жир.
@MarioVilas что? Если пароль зашифрован, а ключ шифрования защищен ОС, то в чем разница? Шифрование не волшебство - оно просто уплотняет всю секретность в меньший ключ шифрования. Вряд ли snakeoil, в этом контексте он просто перемещает всю эту секретность в ОС.
@ AviD Почему ОС может защитить ключ, но не сами данные? Ответ: он может защитить оба, поэтому шифрование не очень помогает. Было бы иначе , если только данные были сохранены , и ключ шифрования был получен, например, из пароля , который должен был быть введен пользователем.
но тогда как скрипт php считывает учетные данные, хранящиеся в файле?
Вы используете fopen (), как для обычного текстового файла.
@ e-удовлетворительно хорошо, это помешает хакеру require / include но как запретить делать fopen ?
«это не мешает вам правильно устанавливать правила доступа»

user11318 · Accepted Answer · 2008-09-18T23-42-00.000Z

209

Лучший ответ

Несколько человек неправильно понимают это как вопрос о том, как хранить пароли в базе данных. Это не правильно. Речь идет о том, как сохранить пароль, который позволяет получить в базу данных.

Обычным решением является переход пароля из исходного кода в файл конфигурации. Затем оставьте администрирование и сохраните файл конфигурации до системных администраторов. Таким образом разработчикам не нужно ничего знать о производственных паролях, и нет записи пароля в вашем источнике-контроле.

user11318 18 сен. 2008, в 23:42

7

Благодарю. Если я правильно понимаю, файл php будет включать в себя файл конфигурации, позволяющий использовать пароль. Например, я создаю файл app1_db_cfg.php, в котором хранятся логин, pword и имя базы данных. Тогда моя страница application.php содержит app1_db_cfg.php, и я в деле!
user18359 19 сен. 2008, в 00:40
0

да, я обычно делаю DEFINE ("DB_NAME", "mydb"); и т. д. также удобно определить все, что вы будете использовать на более чем странице, что вы можете изменить позже
Matthew Rapati 19 сен. 2008, в 03:33
0

Просто сохранить пароль в конфигурационном файле не намного безопаснее. Он должен быть надлежащим образом защищен с использованием надежных списков ACL и надежного шифрования с должным образом защищенными ключами ... См. Мой пост ниже.
AviD 21 сен. 2008, в 19:23
25

Я согласен, что конфиг должен быть должным образом защищен. Однако знать, как это сделать, - дело системных администраторов, а не разработчиков. Я не согласен с ценностью сильного шифрования в этом случае. Если вы не можете защитить свой конфигурационный файл, что заставляет вас думать, что вы можете защитить свои ключи?
user11318 21 сен. 2008, в 20:04
8

Я предпочитаю использовать учетную запись базы данных, доступ к которой разрешен только с веб-сервера. И тогда я не пытаюсь зашифровать конфигурацию, я просто храню ее вне веб-корня.
gnud 25 апр. 2009, в 08:01
0

@bentilly, вот где приходит сильное управление ключами, и это определенно должна быть обязанностью разработчика, а не администратора - хотя администраторы также имеют здесь некоторые задачи.
AviD 16 май 2009, в 18:38
1

@bentilly, поэтому, когда вы не предоставляете конфиденциальные данные, вам вообще не нужно шифрование? Не шифрование, потому что вы не думаете, что кто-то непривилегированный получит доступ к звукам странного для меня - это делает PIN-код на моей VISA бесполезным, поскольку никто не должен получать к нему доступ. редактировать: извините, кто-то выкопал старую ветку
atamanroman 10 сен. 2010, в 11:20
1

@gnut: «Я просто храню его вне веб-корня». Как строка за пределами webroot поможет? Я спрашиваю об этом, как я видел даже в современных сценариях с открытым исходным кодом, что файл конфигурации, который содержит пароль БД, находится в корневом каталоге. Я не предпочитаю это, и я хочу знать, если я должен беспокоиться.
C graphics 25 авг. 2012, в 22:59
0

@ MatthewRapati ... Я на самом деле решаю проблему с паролем в константах, потому что другие разработчики могут просто сделать get_defined_constants() .
dmnc 23 окт. 2013, в 11:19
8

Я использую переменную окружения apache, чтобы установить путь, так что даже путь к файлу неизвестен в исходном коде. Это также позволяет использовать разные пароли для разработки и производства в зависимости от настроек Apache на сервере.
geedew 12 март 2014, в 13:07
12

Помните, что даже файлы, хранящиеся вне каталога, доступного через Интернет, должны быть прочитаны сценарием, который их использует. Если кто-то включает этот файл, а затем выгружает данные из файла, он увидит пароль.
Rick Mac Gillis 08 нояб. 2014, в 19:33
1

Для всех людей, которые спрашивают, как защититься от всего, кроме меня, ответ - либо управлять всей компанией самостоятельно, либо вы должны доверять хотя бы кому-то.
Ankit 08 фев. 2016, в 17:03
0

@henk Для этого нет решения. Вы должны доверять или быть осторожными с содержимым всех сценариев, которые идут на рабочий сервер.
Ankit 08 фев. 2016, в 17:05
0

@RickMacGillis If someone includes that file, then dumps the data from the file, they will see the password сбросит If someone includes that file, then dumps the data from the file, they will see the password как вы справляетесь с этим?
tonix 22 май 2016, в 10:16
1

@tonix Проблема в большей степени связана с программным обеспечением с открытым исходным кодом, поскольку вы будете знать переменные или структуру этого файла. По этой причине, define является плохой идеей для установки этих переменных. (Например, WordPress использует этот небезопасный метод, и он находится внутри каталога, доступного через Интернет.) Проблема, на которую я указывал, заключается в том, что если кто-то может загрузить файл, он может обнаружить пароли в этом файле. Тем не менее, даже если кто-то может легко сбросить пароль, созданный с помощью define, файлы конфигурации Laravel .env или на основе массива лишь немного лучше. Каждый файл подвержен атаке.
Rick Mac Gillis 24 май 2016, в 17:30
0

Во-первых, чтобы избежать этой проблемы, используйте сервер паролей и запросите у сервера необходимую информацию. AWS KMS можно использовать для дальнейшей защиты ваших паролей, сохраняя их в зашифрованном виде в файловой системе и расшифровывая их только в памяти с помощью Redis. aws.amazon.com/kms
Rick Mac Gillis 24 май 2016, в 17:37
0

Опять же, если кто-то может разместить файл на вашем сайте и запустить его, у вас есть большие проблемы, чем просто потеря паролей. Этот файл может сделать что угодно.
Rick Mac Gillis 06 июнь 2016, в 19:11

Показать ещё 15 комментариев