我有一个NODEJS代码可以连接到MySql数据库:
var mysql = require('mysql')
var express = require('express')
var app = express()
var connection = mysql.createPool({
connectionLimit: 50,
host : 'ip',
user : 'username',
password : 'pass',
database : 'mydb'
});
app.get('/', function(req, resp) {
connection.getConnection(function(error, tempCont) {
if(!!error) {
tempCont.release();
console.log('Error');
} else {
console.log('Connected!');
tempCont.query("select * from table", function(error, rows, fields) {
tempCont.release();
if(!!error) {
console.log('Error in the query');
} else {
resp.json(rows);
}
});
}
})
})
console.log("listening requests...")
app.listen(1337);
如何保护用于连接数据库的IP,用户名和密码,以使其在代码或配置文件中不可见?
答案 0 :(得分:4)
通过以下方式安装环境模块: npm install --save dotenv
在根文件夹中创建.env文件并写下代码
DB_CONLIMIT='50'
DB_HOST='ip'
DB_USER='username'
DB_PASSWORD='pass'
DB_DATABASE='mydb'
在您的js文件中
var mysql = require('mysql');
var express = require('express');
var app = express();
const dotenv = require('dotenv');
var connection = mysql.createPool({
connectionLimit : process.env.DB_CONLIMIT,
host : process.env.DB_HOST,
user : process.env.DB_USER ,
password : process.env.DB_PASSWORD ,
database : process.env.DB_DATABASE
});
答案 1 :(得分:1)
您应该配置系统,以便您的服务以其自己的用户和自己的受保护文件运行。这提供了一些保护,以便即使其他服务受到威胁,入侵用户的访问也可以与系统的其他组件隔离。不要以root用户身份运行
。关于如何存储和访问机密,这取决于您。如果需要,可以有一个配置文件。另一种选择是使用环境变量。最终但是,您的机密必须以纯文本形式存储在系统中,以便系统读取和使用。
另一个值得一提的方法是,您可以通过拥有专用的机密服务将机密与应用程序分开。您的所有应用程序都必须了解此服务,并且从那里可以请求常规操作所需的秘密。显然,所有应用程序在启动时都依赖于Secrets服务,这很容易引起注意-如果失败,您的应用程序将无法启动或重新启动。