Comment protéger les mots de passe des bases de données en PHP ?

Question

Lorsqu'une application PHP établit une connexion à une base de données, elle doit généralement transmettre un nom de connexion et un mot de passe. Si mon application utilise un identifiant unique, le moins privilégié, alors PHP doit connaître cet identifiant et ce mot de passe quelque part. Quelle est la meilleure façon de protéger ce mot de passe ? Il semble que le simple fait de l’écrire en code PHP n’est pas une bonne idée.

Answer 1

Si vous êtes hébergé sur le serveur de quelqu'un d'autre et que vous n'avez pas accès au contenu en dehors de la racine de votre réseau, vous pouvez toujours mettre votre mot de passe et/ou votre connexion à la base de données dans un fichier, puis verrouiller ce fichier avec .htaccess :

<files mypasswdfile>
order allow,deny
deny from all
</files>

Answer 2

Certaines personnes ont interprété cela à tort comme une question sur la façon dont les mots de passe sont stockés dans la base de données. C'est faux. Il s'agit de savoir comment stocker le mot de passe qui vous donne accèsà la base de données.

La solution habituelle consiste à déplacer le mot de passe du code source vers le fichier de configuration. Laissez ensuite le travail de gestion et de protection des fichiers de configuration à l'administrateur système. De cette façon, les développeurs n'ont pas besoin de savoir quoi que ce soit sur les mots de passe de production et il n'y a aucun enregistrement de mot de passe dans le contrôle de code source.