为apache使用的数据库存储用户名/密码组合的最安全方法是什么?
必须有一些更安全的东西,而不仅仅是将明文密码存储在一个文件中,并将它们放在只有root和apache可以访问的文件夹中。
答案 0 :(得分:2)
好吧,让我问一下:你是谁在保护自己?你想要更安全"但你还没有发现任何攻击媒介。
外部用户
如果您试图保护他们免受外部用户的侵害,您有两种选择:
将文件移到webroot之外。因此,攻击者无法获取该文件,因为Apache无法提供该文件。
通过权限保护文件或在Apache中保护DENY。这样Apache就无法提供服务。
第一个选项更好,因为错误配置无法公开凭据。
内部用户(有权访问服务器的人员)
你无法抵御他们。如果攻击者可以访问服务器,他们可以(通常至少)可以访问凭据。
是的,您可以加密文件。但Apache必须知道如何解密它,因此攻击者可以解决这个问题。
您唯一的防御是正确设置文件的权限。使它只能由Apache(无人)读取。
简而言之,加密凭据几乎没有收获,就像您的服务器配置正确一样,他们没有机会泄露给他们不会泄漏的人。< / p>
保护您的应用程序免受其他攻击媒介(SQLi,代码注入,XSS等)的影响,因为它们更有可能成为攻击者进入的方式...