如何保護 PHP 中的資料庫密碼？

Question

當 PHP 應用程式建立資料庫連線時，通常需要傳遞登入名稱和密碼。如果我的應用程式使用單一的、最小權限的登入名，那麼 PHP 需要在某處知道該登入名稱和密碼。保護該密碼的最佳方法是什麼？看起來僅僅在 PHP 程式碼中編寫它並不是一個好主意。

Answer 1

如果您託管在其他人的伺服器上並且無法存取您的網站根目錄以外的內容，您可以隨時將密碼和/或資料庫連接放入檔案中，然後使用.htaccess 鎖定該檔案：

<files mypasswdfile>
order allow,deny
deny from all
</files>

Answer 2

有些人將其誤讀為有關如何在資料庫中儲存密碼的問題。那是錯的。它是關於如何儲存讓您存取資料庫的密碼。

通常的解決方案是將密碼從原始碼移到設定檔。然後將管理和保護設定檔的工作交給系統管理員。這樣，開發人員不需要知道有關生產密碼的任何信息，並且在原始碼管理中沒有密碼記錄。