我有一个用 PHP 开发的网站。有 2 个类(在 2 个单独的 php 文件中)包含站点管理员的 gmail 用户 ID 和密码(纯文本)和数据库密码(同样是纯文本)。尽管这些类都没有显示在浏览器上(如 index.php)。这些文件仅包含 php 类,不包含 html 代码,并且仅通过这些类的对象引用这些纯文本密码。 很晚了,我开始怀疑这是否足够安全?我已尽我最大的努力(扮演一个恶意的人)尝试阅读这两个 php 文件的内容,但未能这样做。我不太熟悉开发安全代码,所以不确定应该采用什么方法来确保这些密码永远不会被泄露。 任何人都可以建议最佳实践来开发可以安全地包含此类敏感信息的 php 代码。
最佳答案
- 将可配置项放在一个单独的配置文件中,位于您的公共(public) Web 目录之上
- 确保您为文件设置了正确的文件权限
- 检查您的网络应用程序是否包含本地(和远程)文件
- 让您的服务器保持最新状态
将密码放在安全的地方并不是完整的解决方案,您需要确保整个 PHP 应用程序的安全,并且未经授权的任何人都不能获得对服务器的根/管理员访问权限。
关于PHP:如何隐藏数据库连接/电子邮件连接语句的密码?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3749899/