对于与其他人共享的git存储库,是否存在在settings.py文件中公开数据库密码的漏洞? (我最初的想法是否定的,因为你仍然需要ssh密码。)
答案 0 :(得分:3)
这取决于谁拥有对存储库的读取权限,但通常最好不要将密码置于版本控制中。最好将它放在一个单独的文件中,例如password.py,只包含密码,如下所示:
password = 'asdasd'
import中的和execfile或settings.py。然后,您可以将password.py添加到.gitignore。
答案 1 :(得分:2)
假设您的数据库只能从一个特定的主机访问,即使这样,您为什么要为潜在的攻击者提供另一条信息呢?假设您将此部署到共享主机并且我有一个帐户,我可以通过登录该框中的帐户来连接到您的数据库。
此外,根据您为此撰写的内容以及需要进行哪种审核(PCI,州审核等),这可能是不允许的。
我会尝试找一个检查密码的方法。