So speichern Sie MySQL-Anmeldeinformationen sicher in PHP-Anwendungen: Ein Best-Practices-Leitfaden

Sichern von MySQL-Anmeldeinformationen in PHP-Anwendungen

Das Speichern von MySQL-Passwörtern im Klartext in Konfigurationsdateien stellt ein Sicherheitsrisiko dar. In diesem Artikel wird eine sichere Alternative zu dieser gängigen Praxis untersucht.

Problem

PHP-Programme erfordern häufig, dass Benutzer MySQL-Passwörter in Klartext-Konfigurationsdateien im Stammverzeichnis der Anwendung speichern. Dieser Ansatz hat Bedenken hinsichtlich Sicherheitslücken geweckt.

Minimale Sicherheitsverbesserungen

Zu den Bemühungen zur Minderung dieses Problems gehörten:

• Einschränkung der Dateisichtbarkeit durch .htaccess-Regeln
• Annullierung des Passworts aus dem Speicher nach der Datenbankverbindung

Diese Maßnahmen beheben jedoch nicht vollständig die zugrunde liegende Sicherheitslücke.

Verbessert Ansatz

Eine sicherere Lösung besteht darin, vertrauliche Informationen, wie z. B. Datenbankanmeldeinformationen, in einer Konfigurationsdatei außerhalb des Stammverzeichnisses des Webordners zu speichern. Zum Beispiel:

<code class="php">$config = parse_ini_file('../config.ini');</code>

Dieser Ansatz bietet mehrere Vorteile:

• Variablen sind nicht zugänglich, wenn der Server PHP-Skripte versehentlich als Klartext ausgibt.
• Nur ​​PHP-Skripte haben dies Zugriff auf diese Variablen.
• Die Konfiguration kann abgerufen werden, ohne auf .htaccess angewiesen zu sein, was gefährdet sein oder verloren gehen könnte.

Zusätzliche Sicherheitsüberlegungen

Ab Februar 2017 wird empfohlen, Konfigurationsparameter als Umgebungsvariablen und nicht in einer .ini-Datei zu speichern. Dieser Ansatz erhöht die Sicherheit weiter, indem die Konfiguration vom Anwendungscode getrennt wird.

Das obige ist der detaillierte Inhalt vonSo speichern Sie MySQL-Anmeldeinformationen sicher in PHP-Anwendungen: Ein Best-Practices-Leitfaden. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!