Wie schützt man Datenbankkennwörter in PHP?

Question

Wenn eine PHP-Anwendung eine Datenbankverbindung herstellt, muss sie normalerweise einen Anmeldenamen und ein Passwort übergeben. Wenn meine Anwendung ein einzelnes Login mit den geringsten Privilegien verwendet, muss PHP dieses Login und Passwort irgendwo kennen. Was ist der beste Weg, dieses Passwort zu schützen? Es scheint keine gute Idee zu sein, es einfach in PHP-Code zu schreiben.

Answer 1

如果您托管在其他人的服务器上并且无法访问您的网络根目录之外的内容，您可以随时将密码和/或数据库连接放入文件中，然后使用 .htaccess 锁定该文件：

<files mypasswdfile>
order allow,deny
deny from all
</files>

Answer 2

一些人将其误读为有关如何在数据库中存储密码的问题。那是错的。它是关于如何存储让您访问数据库的密码。

通常的解决方案是将密码从源代码移到配置文件中。然后将管理和保护配置文件的工作交给系统管理员。这样，开发人员不需要知道有关生产密码的任何信息，并且源代码管理中没有密码记录。