[英]How to secure database passwords in PHP?
当 PHP 应用程序建立数据库连接时,它当然通常需要传递登录名和密码。 如果我为我的应用程序使用单一的、最低权限的登录名,那么 PHP 需要在某处知道该登录名和密码。 保护该密码的最佳方法是什么? 似乎只是在 PHP 代码中编写它并不是一个好主意。
一些人将此误读为关于如何在数据库中存储密码的问题。 那是错的。 它是关于如何存储让您访问数据库的密码。
通常的解决方案是将密码从源代码中移到配置文件中。 然后让系统管理员负责管理和保护该配置文件。 这样开发人员不需要知道任何关于生产密码的信息,并且在你的源代码控制中没有密码记录。
如果您托管在其他人的服务器上并且在您的 webroot 之外没有访问权限,您始终可以将您的密码和/或数据库连接放在一个文件中,然后使用 .htaccess 锁定该文件:
<files mypasswdfile>
order allow,deny
deny from all
</files>
最安全的方法是根本没有在 PHP 代码中指定的信息。
如果您使用 Apache,则意味着在 httpd.conf 或虚拟主机文件文件中设置连接详细信息。 如果这样做,您可以不带参数调用 mysql_connect(),这意味着 PHP 永远不会输出您的信息。
这是在这些文件中指定这些值的方式:
php_value mysql.default.user myusername
php_value mysql.default.password mypassword
php_value mysql.default.host server
然后你像这样打开你的 mysql 连接:
<?php
$db = mysqli_connect();
或者像这样:
<?php
$db = mysqli_connect(ini_get("mysql.default.user"),
ini_get("mysql.default.password"),
ini_get("mysql.default.host"));
将它们存储在 Web 根目录之外的文件中。
对于极其安全的系统,我们在配置文件中加密数据库密码(它本身由系统管理员保护)。 在应用程序/服务器启动时,应用程序会提示系统管理员输入解密密钥。 然后从配置文件中读取数据库密码,解密并存储在内存中以备将来使用。 仍然不是 100% 安全,因为它存储在已解密的内存中,但您必须在某个时候称其为“足够安全”!
此解决方案是通用的,因为它对开源和闭源应用程序都很有用。
好处:
这个方法是 Heroku 推荐的,非常成功。
如果可以在存储凭据的同一文件中创建数据库连接。 在连接语句中内联凭据。
mysql_connect("localhost", "me", "mypass");
否则最好在 connect 语句之后取消设置凭据,因为不在内存中的凭据无法从内存中读取;)
include("/outside-webroot/db_settings.php");
mysql_connect("localhost", $db_user, $db_pass);
unset ($db_user, $db_pass);
以前我们将数据库用户/密码存储在配置文件中,但此后已进入偏执模式——采用深度防御策略。
如果您的应用程序受到威胁,用户将拥有对您的配置文件的读取权限,因此破解者有可能读取此信息。 配置文件也可能陷入版本控制,或在服务器上复制。
我们已经切换到在 Apache VirtualHost 中设置的环境变量中存储用户/密码。 这个配置只能被 root 读取——希望你的 Apache 用户没有以 root 身份运行。
与此相反的是,现在密码在全局 PHP 变量中。
为了降低这种风险,我们采取了以下预防措施:
phpinfo()
被禁用。 PHPInfo 是一个简单的目标,可以了解所有内容,包括环境变量。如果您使用的是 PostgreSQL,那么它会自动在~/.pgpass
查找密码。 有关更多信息,请参阅手册。
您的选择是有限的,因为您说访问数据库需要密码。 一种通用方法是将用户名和密码存储在单独的配置文件而不是主脚本中。 然后确保将其存储在主网络树之外。 那是如果存在 Web 配置问题,使您的 php 文件仅显示为文本而不是被执行,则您没有公开密码。
除此之外,您处于正确的行上,对正在使用的帐户的访问权限最小。 添加到那个
彼得
我们是这样解决的:
将数据库密码放在一个文件中,使其对提供文件的用户只读。
除非您有某种方法只允许 php 服务器进程访问数据库,否则您几乎可以做到这一点。
另一个技巧是使用一个 PHP 单独的配置文件,如下所示:
<?php exit() ?>
[...]
Plain text data including password
这不会阻止您正确设置访问规则。 但是如果您的网站被黑,“require”或“include”只会在第一行退出脚本,因此获取数据更加困难。
然而,永远不要将配置文件放在可以通过 Web 访问的目录中。 您应该有一个“Web”文件夹,其中包含您的控制器代码、css、图片和 js。 就这样。 其他任何内容都在脱机文件夹中。
如果您谈论的是数据库密码,而不是来自浏览器的密码,那么标准做法似乎是将数据库密码放在服务器上的 PHP 配置文件中。
您只需要确保包含密码的 php 文件对其具有适当的权限。 即它应该只能由 Web 服务器和您的用户帐户读取。
通常的做法是将它放入某个配置文件中。 只要确保你:
最好的方法是根本不存储密码!
例如,如果您在 Windows 系统上连接到 SQL Server,则可以使用集成身份验证连接到数据库,无需密码,使用当前进程的标识。
如果你需要一个密码时,先进行加密连接,使用强大的加密(例如,使用AES-256,然后保护加密密钥,或使用非对称加密,并有操作系统保护证书),然后将其存储在一个具有强 ACL 的配置文件(在 web 目录之外)。
实际上,最佳做法是将数据库凭据存储在环境变量中,因为:
如何使用它们?
$_ENV['MYVAR'] = $myvar
echo $_ENV["MYVAR"]
您可以轻松地删除包含所有环境变量的文件,例如 envvars.php 并执行它( php envvars.php
)并删除它。 这有点老派,但它仍然有效,并且您在服务器中没有任何带有凭据的文件,并且代码中没有凭据。 由于它有点费力,框架做得更好。
Symfony 示例(好吧,不仅是 PHP) Symfony 等现代框架建议使用环境变量,并将它们存储在 .env 未提交文件中或直接存储在命令行中,这意味着您可以这样做:
symfony var:set FOO=bar --env-level
文件:
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.