如何存储数据库连接信息是安全的？

Question

我开发了一个php应用程序，我有一个config.php，它存储了应用程序之间的常量用法，在这个文件中，它包含了所有重要的信息，比如Mysql服务器地址，端口号，用户名和密码。我担心有人可以获取文件，并做一些我不想要的事情，我该如何保护这个文件？谢谢。

Answer 1

• 练习一般良好的密码安全性（不要使用字典单词等）
• 最好使用.php扩展名来命名文件，因为那时Web服务器不太可能被欺骗以明文形式提供文件。
• 确保config.php存储在Web根目录之外。这意味着如果您的服务器配置出现问题并且它开始以明文形式提供PHP文件，您就不会泄漏数据库密码（因为没有人能够请求config.php）。
• 确保数据库凭据是适当命名的常量，而不是变量。这样就不太可能以某种方式不恰当地使用它们（例如，如果密码是$password而不是DB_PASSWORD，您可能会对全局范围内的$password变量执行某些操作，忘记了它正在使用 - 不太可能，但可能性很小。）

Answer 2

通常它只是存储在一个php文件中，如果属于www-data用户或者你的web服务器正在使用什么，你可以创建它。如果某人有权访问您的服务器，他们将无法打开它