如何最好地隐藏密码？

您正在使用脚本语言并直接使用密码访问数据库。无论您做什么，在某个级别上，该密码都将很容易地被访问。掩盖它实际上并没有给您带来太多好处。
您必须依赖计算机的安全和权限，以及可能的数据库（限制从特定计算机和用户的访问）。

不要在Python文件中存储数据库连接凭据。相反，将它们存储在一个安全的地方，只能被脚本运行的用户账户读取。
例如，为运行此任务创建一个用户帐户，并在该用户帐户的主目录中创建一个名为“database.ini”的文件（仅可由该用户读取），并将数据库连接字符串和密码放在其中。然后使用Python标准库中的ConfigParser类来读取该文件。
然后该任务可以始终在该用户帐户下运行。您也可以通过在您的主目录中放置一个具有正确凭据的“database.ini”文件来运行它，但是任何没有凭据的人都无法运行它。

看看this问题。他们建议在脚本之外将密码编码为base64，然后将该字符串包含在脚本中，在进行连接之前将其转换回来。

只是为了强调Brian所说的，如果程序自动运行（即没有机会提示用户输入密码），任何在相同用户权限下运行的程序都可以访问任何密码。不清楚你还能做什么。也许如果客户端机器上的（可信）操作系统能够向主机证明它正在被来自特定路径的程序访问，那么主机就可以被告知“只对appserver.example.com上的/var/lib/tomcat/bin/tomcat打开数据库”。如果你完成了所有这些，攻击者必须破坏tomcat可执行文件才能访问数据库。

一个更高级的想法是手动进行mysql身份验证。也就是说，学习mysql协议（它是一个标准的握手过程，包括挑战和响应），并自己执行该过程。这样，您就永远不会直接发送密码。