我试图保护一个用WAMP风格的本地安装运行的PHP Web应用程序。
当前,应用程序数据库的密码仅位于.php文件中。我曾考虑过对它们进行加密,但是任何人都可以单步执行代码以对其进行解密。
它不在Web服务器上运行,而是在用户的PC上运行。这里有没有人试图保护这种类型的应用程序的安全,或者提供了已编译的程序来返回密码,或者以某种方式使用了外部密钥库?
您的想法受到赞赏。
说明:数据库也在本地PC上。
答案 0 :(得分:1)
那里有很多非常强大的外部身份验证提供程序。 Firebase和OAuth仅举几例。从技术上讲,没有系统能够100%防止黑客入侵,但是Firebase和OAuth为可能的黑客提供了通往成功的艰难之路
答案 1 :(得分:1)
在这种情况下,您可以使用ENV变量制作.env文件并在其中存储密码,然后在应用程序中调用该文件。
您可以在Apache config文件中创建环境变量,然后在应用程序中从那里调用它,这是更安全的。
答案 2 :(得分:0)
如果要为客户端/用户提供源代码,则无法保护数据库连接凭据。基本上,如果您的应用程序可以访问它,并且可以使用源代码供他们使用,阅读,解析,则它们具有与软件相同的访问权限。