Ale*_*lay 4 php security passwords
我的网站是使用php文件构建的.我在这些文件中使用商业秘密算法,我的数据库的root密码也存储在这些php文件中.我的数据库用于存储许多客户的私人医疗数据.
这被认为是安全的设置; 任何人都可以从我的网络服务器下载PHP源码,因此可以访问我的root mysql密码?
我在ubuntu 8.04和mysql 5上运行apache 2.0和php 5.
谢谢.
您的服务器与服务器中最薄弱的点一样安全.
如果有人为恰好能够读取该文件的帐户泄露弱密码 - 那么是的,现在他们拥有您的root密码.如果你碰巧在你的代码中犯了错误(或使用别人的代码/程序带有这样的错误/"功能"),那么这也可能会危及它 - 是的,这两种情况都会发生.
因此,作为基本预防措施,请为该应用程序创建一个特定帐户,该帐户仅限于该应用程序可以访问的内容.如果确实受到了损害,那就不那么有用了.
当然root密码是你可以选择的最糟糕的东西.在安全审计中,保证这是即时失败.
如果您在美国存储医疗数据,则需遵守特定的严格安全要求.其他国家可能有类似的规定.
如果不是专家,我会严重怀疑您是否会通过您描述的设置通过安全审核.首先,在纯文本的任何地方使用root密码是不好的做法.以未加密的形式存储任何敏感数据(例如医疗记录)会邀请任何可以穿透您的网站以帮助自己处理数据的黑客.我怀疑HIPAA对确保所有医疗信息和患者识别信息的具体要求.
这是一个严重的问题,可能会使您的公司承担严重的责任.
| 归档时间: |
|
| 查看次数: |
746 次 |
| 最近记录: |