我的网站是使用 php 文件构建的。我在这些文件中使用了商业 secret 算法,我的数据库根密码也存储在这些 php 文件中。我的数据库用于存储许多客户的私有(private)医疗数据。
这是否被认为是安全的设置?任何人都可以从我的网络服务器下载 php 源代码,因此可以访问我的 root mysql 密码吗?
我在 ubuntu 8.04 和 mysql 5 上运行 apache 2.0 和 php 5。
谢谢。
最佳答案
如果您在美国存储医疗数据,您将受到特定、严格的 security requirements .其他国家可能有类似规定。
如果不是专家,我严重怀疑您能否通过您描述的设置进行安全审核。首先,以纯文本形式在任何地方使用 root 密码是不好的做法。以未加密的形式存储任何敏感数据(例如医疗记录)会邀请任何可以渗透您的网站的黑客来帮助自己获取数据。我怀疑 HIPAA 对保护所有医疗信息和患者身份信息有特定要求。
这是一件严重的事情,可能会使您的公司承担严重的责任。
关于php - 密码/商业 secret 算法 : Are they safe in php files?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1350331/