如何在PHP中保护数据库密码？

Question

当PHP应用程序建立数据库连接时,它当然通常需要传递登录名和密码.如果我正在为我的应用程序使用单个最小权限登录,那么PHP需要知道某处的登录名和密码.保护密码的最佳方法是什么？看起来只是在PHP代码中编写它并不是一个好主意.

Answer 1

有几个人误以为是关于如何在数据库中存储密码的问题.那是错的.它是关于如何存储允许您访问数据库的密码.

通常的解决方案是将密码从源代码中移出到配置文件中.然后将管理和保护配置文件保留给系统管理员.这样开发人员就不需要了解生产密码,也没有源代码控制中的密码记录.

Answer 2

如果您在其他人的服务器上托管并且无法访问您的webroot,您可以始终将您的密码和/或数据库连接放在一个文件中,然后使用.htaccess锁定该文件:

<files mypasswdfile>
order allow,deny
deny from all
</files>

Answer 3

最安全的方法是根本不具备PHP代码中指定的信息.

如果您正在使用Apache,则意味着在httpd.conf或虚拟主机文件文件中设置连接详细信息.如果你这样做,你可以调用没有参数的mysql_connect(),这意味着PHP永远不会输出你的信息.

这是您在这些文件中指定这些值的方法:

php_value mysql.default.user      myusername
php_value mysql.default.password  mypassword
php_value mysql.default.host      server

然后你打开你的mysql连接,如下所示:

<?php
$db = mysqli_connect();

或者像这样:

<?php
$db = mysqli_connect(ini_get("mysql.default.user"),
                     ini_get("mysql.default.password"),
                     ini_get("mysql.default.host"));

Answer 4

将它们存储在Web根目录之外的文件中.

Answer 5

对于极其安全的系统,我们在配置文件中加密数据库密码(配置文件本身由系统管理员保护).在应用程序/服务器启动时,应用程序然后提示系统管理员提供解密密钥.然后从配置文件中读取数据库密码,解密并存储在内存中以备将来使用.仍然不是100%安全,因为它存储在解密的内存中,但你必须在某些时候称它为"足够安全"!

Answer 6

该解决方案是通用的,因为它对于开源和闭源应用都是有用的.

1. 为您的应用程序创建OS用户.请参见http://en.wikipedia.org/wiki/Principle_of_least_privilege
2. 使用密码为该用户创建(非会话)OS环境变量
3. 以该用户身份运行应用程序

好处:

1. 您不会意外地将密码检查到源代码管理中,因为您不能
2. 您不会意外搞砸文件权限.好吧,你可以,但它不会影响这一点.
3. 只能由root或该用户读取.Root无论如何都可以读取所有文件和加密密钥.
4. 如果使用加密,如何安全地存储密钥？
5. Works x平台
6. 请确保不要将envvar传递给不受信任的子进程

Heroku建议这种方法非常成功.

Answer 7

如果可以在存储凭据的同一文件中创建数据库连接.内联connect语句中的凭据.

mysql_connect("localhost", "me", "mypass");

否则最好在connect语句之后取消设置凭据,因为无法从内存中读取不在内存中的凭据;)

include("/outside-webroot/db_settings.php");  
mysql_connect("localhost", $db_user, $db_pass);  
unset ($db_user, $db_pass);  

Answer 8

您的选择有限,因为您说您需要密码才能访问数据库.一种通用方法是将用户名和密码存储在单独的配置文件中,而不是主脚本中.然后一定要将其存储在主Web树之外.那就是如果有一个Web配置问题,你的php文件只是显示为文本而不是被执行,你没有暴露密码.

除此之外,您使用的是正确的线路,并且对所使用的帐户的访问权限最小.加上那个

• 不要将用户名/密码的组合用于其他任何事情
• 将数据库服务器配置为仅接受来自该用户的Web主机的连接(如果数据库位于同一台计算机上,localhost甚至更好)这样即使凭证被公开,除非他们具有对其他人的访问权限,否则它们对任何人都没用.机.
• 对密码进行模糊处理(即使ROT13会这样做)如果有人能够访问该文件,它也不会提供太多防御,但至少它会阻止随意查看它.

彼得

Answer 9

如果您使用的是PostgreSQL,那么它会~/.pgpass自动查找密码.有关详细信息,请参阅手册.

Answer 10

我们是这样解决的：

1. 在服务器上使用 memcache，从其他密码服务器打开连接。
2. 将密码（甚至所有已加密的 password.php 文件）和解密密钥保存到 memcache。
3. 该网站调用保存密码文件密码的内存缓存密钥，并在内存中解密所有密码。
4. 密码服务器每 5 分钟发送一个新的加密密码文件。
5. 如果您在您的项目中使用加密的 password.php，您将进行审核，以检查该文件是否被外部接触或查看。发生这种情况时，您可以自动清理内存，并关闭服务器以进行访问。

Answer 11

将数据库密码放在一个文件中,使其对服务文件的用户只读.

除非你有一些只允许php服务器进程访问数据库的方法,否则这几乎就是你所能做的.

Answer 12

如果您谈论的是数据库密码，而不是来自浏览器的密码，那么标准做法似乎是将数据库密码放在服务器上的 PHP 配置文件中。

您只需要确保包含密码的 php 文件对其具有适当的权限。即它应该只能由网络服务器和您的用户帐户读取。

Answer 13

通常的做法是将它放入某个配置文件中。只要确保你：

1. 禁止从网络外的任何服务器访问数据库，
2. 注意不要意外地向用户显示密码（在错误消息中，或通过意外作为 HTML 提供的 PHP 文件等。）

Answer 14

另一个技巧是使用一个 PHP 单独的配置文件，如下所示：

<?php exit() ?>

[...]

Plain text data including password

这不会阻止您正确设置访问规则。但是如果您的网站被黑，“require”或“include”只会在第一行退出脚本，因此获取数据更加困难。

然而，永远不要将配置文件放在可以通过 Web 访问的目录中。您应该有一个“Web”文件夹，其中包含您的控制器代码、css、图片和 js。就这样。其他任何内容都在脱机文件夹中。

Answer 15

以前我们将DB user/pass存储在一个配置文件中,但后来又变成了偏执模式 - 采用了深度防御策略.

如果您的应用程序遭到入侵,则用户将具有对您的配置文件的读取权限,因此有可能让黑客读取此信息.配置文件也可以在版本控制中捕获,或者在服务器周围复制.

我们已经切换到存储用户/传递Apache VirtualHost中设置的环境变量.此配置只能由root读取 - 希望您的Apache用户不以root用户身份运行.

与此相关的是,现在密码是全局PHP变量.

为了降低这种风险,我们采取以下预防措施:

• 密码已加密.我们扩展PDO类以包括用于解密密码的逻辑.如果有人读取我们建立连接的代码,则使用加密密码而不是密码本身建立连接并不明显.
• 加密密码从全局变量移动到私有变量应用程序立即执行此操作以减少该值在全局空间中可用的窗口.
• phpinfo()被禁用.PHPInfo是一个简单的目标,可以概述所有内容,包括环境变量.