应用程序:构建一个用于维护活动计划的小型应用程序。它查询MSSQL数据库。计划的存储也写入MSSQL DB。
我已经审查了大量关于堆栈溢出的帖子,以及广泛搜索data.yml文件。也许这只是我,但我还有一些重大问题。
1)为什么在database.yml不安全的情况下将我的密码以纯文本格式存储?是因为存储密码信息的方法本身是不安全的吗?或者是因为在发布到git存储库时,您可能会无意中以纯文本形式发布数据库密码?
2)如果在root / config / database.yml下以纯文本格式存储密码是不安全的,为什么我会在同一目录中看到许多引用创建另一个yml文件来存储密码?我看到有些人正在设置config.yml并创建可在database.yml中使用的全局变量。如果这更安全,为什么? http://railscasts.com/episodes/85-yaml-configuration-file
我的直觉是,我缺少一些关于如何正确保护我的数据库凭据的重要知识。我真的在寻找一个详尽的解释,说明为保护我的sql凭据需要做些什么。
编辑:我只想更新此内容。我理解需要用纯文本加密密码 - 但我不明白为什么将纯文本密码存储在其他YML文件中似乎没问题。