Как защитить мой пароль mysql_connect (пароль моего сервера базы данных)?
* Этот вопрос для НЕ локального хоста. * Я использую сервис веб-хостинга. НЕ мой личный сервер.
Чтобы использовать mysql_connect для подключения к серверу базы данных, необходимо создать файл php и сохранить его на сервере веб-хоста. Этот файл должен иметь (в коде) адрес сервера, имя пользователя и ПАРОЛЬ:
**$conn = mysql_connect("server", "username", PASSWORD);**
Любой, кто просматривает код страницы и загружает этот php-файл, может увидеть пароль, который представляет угрозу безопасности.
Как я могу защитить пароль базы данных "SERVER"?
1 ответ
У вас действительно нет хороших вариантов для защиты пароля базы данных. Вы должны убедиться, что комбинация пользователь / пароль имеет доступ только к тем частям вашей базы данных, которые необходимы для запуска вашего веб-приложения. Другими словами, не делайте его корневым паролем. Если у вас есть другие базы данных, не используемые веб-приложением, они должны иметь разные учетные данные для входа.
Если веб-сервер не настроен неправильно, никто не сможет загрузить файл PHP для просмотра кода. Вам также следует, если возможно, поместить файл, содержащий учетные данные для входа, вне корневого каталога документов веб-сервера и include() это, уменьшая вероятность того, что он может быть случайно обнаружен неправильно настроенным веб-сервером.
Это вопрос доверия к системным администраторам вашей хостинговой компании.
Если вы будете искать, вы можете найти примеры попыток сохранить зашифрованные учетные данные на другом сервере и извлечь их во время выполнения через зашифрованное соединение, но ключи для расшифровки информации все же должны храниться на веб-сервере и поэтому доступны для системные администраторы.
Если ваш веб-хостинг делает ваши файлы доступными для других клиентов / клиентов, а не разбивает их на части, где они доступны только вам, вы должны немедленно найти новый хост.