将敏感值存储在安全位置

时间:2011-08-17 21:29:24

标签: php security api

我知道这可能是一个非常简单的问题,所以道歉但我正在努力学习新事物。

我正在玩API调用和我正在阅读的教程建议对于密码,用户名等敏感信息我应该“将这些值存储在除Web服务器文档根目录之外的安全位置并设置文件权限,以便只有执行您的电子商务应用程序的系统用户才能访问它。“

这一切听起来像是一个狡猾的想法,但我不完全确定如何去做。我有一个php文件,例如define('PASSWORD','xxxxxx');等等,然后从某个地方调用它?如果是这样,我应该如何以及在哪里放置它?

我知道你可能想知道为什么我在玩一个API,如果我不知道如何做到这一点,确实这是一条奇怪的路线,我来到这里找到自己,但在这里我我,这就是我不知道的。

任何帮助都会非常感激:) Julia

编辑:顺便说一下,假设我什么都不知道 - 因为我真的知道的很少;)

1 个答案:

答案 0 :(得分:2)

他们的意思是,将你的用户/传递放入一个包含在你的应用程序中的文件是可以的,但该文件应该是你的index.php以外的地方。例如,给定目录结构:

/home/alex/site/public/
/home/alex/site/lib/
/home/alex/site/data/

在公共目录中,我将我的index.php,我的CSS,我的JS和图像。就是这样。 PHP应用程序的内容将进入lib目录,并由PHP include_path引用。像configs这样的额外文件可能会进入数据目录。然后,您的vhost document_root指向公共目录。因此,用户点击http://alex.com/index.php会获得正确的文件,但由于数据和lib目录在document_root中达到了一个级别,因此没有人可以抓取http://alex.com/data/secret.txt