我的网站有一个config.php文件,我存储在可公开访问的网页目录之外,它包含我用来发送网站邮件和我的数据库连接凭据的gmail帐户的密码信息。我不喜欢将密码保存为明文变量的想法,并且正在寻找一些方法来更安全地保存这些数据。除了阻止来自我以外的用户对目录的读访问权限之外,我还能做些什么来保护这些信息呢?
答案 0 :(得分:3)
大多数情况下,您最终会以纯文本格式保存。比如你要加密,然后解密的密钥必须以纯文本等保存。所以最好确保你的服务器是安全的。
答案 1 :(得分:1)
取决于您要保护的内容。
将文件保存在htdocs(webroot目录)之外通常是个好主意,因此无法从外部显式调用该文件。 (I.E指导浏览器)。
如果你想保护代码中的$ var(即第三方恶意代码),你可以在消费后消除变量,但我不知道这是否会产生很大的不同。
如果您想要保护文件免受可能“入侵”您服务器的人的影响,那么您无能为力。您始终可以设置文件权限,以便只有www-data(您的apache用户)可以读取它,但如果某人获得了对您计算机的root访问权限,那么您几乎已经搞砸了。
无论如何,如果你的服务器是安全的(没有远程root访问权限,或者只能通过shh使用公钥/私钥,你不能从公共PC等访问你的服务器......),你不使用第三方代码如果不先检查它并将通行文件存储在webroot目录之外,我认为你的安全性就像你一样。