我知道这个规则:千万不要硬编码密码,我看到了这个问题 here,它解释了如何在 Java 和 MySQL 中做到这一点,但我不知道该如何在 PHP 和 MySQL 中实现。
当前的连接字符串是这样构建的:
<?PHP
$DBName = "dbName";
$Host = "localhost";
$User = "dbUser";
$Password = "Yikes_hardcoded_PW";
$Link = mysql_connect( $Host , $User , $Password , $DBName);
if (!$Link) {
die('Could not connect: ' . mysql_error());
}
?>
编辑:尽管我收到了很多负评,但我仍然没有得到答案,因为这是一个真正的安全问题 - 硬编码密码。在没有发布符合问题的评论或答案的情况下,对一个真正的问题进行负评是没有帮助的。
将您的配置存储到另一个文件中。
$DBName = "dbName";
$Host = "localhost";
$User = "dbUser";
$Password = "Yikes_hardcoded_PW";
为此配置文件设置git忽略。
在Cajus Kuinzinas的基础上进行完善...考虑使用一个受限制的数据库来存储应用程序的凭证。当您的应用程序启动时,使用只读帐户执行查询,可以查找实际应用程序数据库的凭据。
为使其更加安全,查找数据库中存储的值不应为完整的密码。您的应用程序可以使用盐与哈希此值以生成真正的密码。如果需要,还可以将其缓存在内存中,以减少未来的访问。
你必须在某个地方硬编码密码。即使你想使用DSN,你也必须在DSN字符串中硬编码密码。我认为无法避免硬编码密码。
因此,问题归结为如何保护包含密码的文件/字符串。设置包含密码的文件的适当文件系统权限和设置适当的open_basedir值是你可以做的。正如What's best way to secure a database connection string?中的一篇帖子所提到的,你还可以考虑使用加密分区。
你在问题中发布的链接,就我理解而言,谈论的是桌面应用程序。PHP桌面应用程序太少了,无法认真考虑保护php桌面应用程序的数据库密码问题。
另一种方法,虽然有点超出常规,是在数据库上创建多个帐户,并通过登录屏幕让用户登录,然后他们自己的凭据驱动连接字符串,这反而解决了身份验证和不在一个简单实例中存储密码的问题。使用良好的密码实践仍然至关重要,使用哈希和盐。
缺点是现在数据库上有多个访问帐户,但作为加分项,如果您的数据库已打开审计日志,则还可以使用户审计变得更加容易。
您需要编写一些逻辑来处理会话中的凭据,但这是将凭据存储在字符串中的替代方法。
将编码凭据放入配置文件中并没有问题。
对于源代码版本化的项目,您应该考虑创建一个配置模板,其中包含任何凭据的占位符,这些凭据将提交到您的存储库中。
在任何部署中,您都应该编辑这些占位符以获取实时凭据。如果您要开源项目,这也将帮助任何使用您的项目的人。
更新(实际回答问题)
数据库配置确实需要以纯文本形式硬编码到PHP文件中,但是您可以采取一些措施来确保其更安全:
grant all privileges on mydatabase.* to myuser@localhost等没有必要隐藏你的MySQL密码。只需限制远程主机对数据库的访问即可。或者,你可以为此特定项目/主机/数据库/操作设置一个默认的无密码MySQL用户。
直接回答你的问题,没有办法混淆密码。