一直以来,许多 PHP 程序要求用户在应用程序的根目录下的一个配置文件中以明文形式(在字符串或常量中)存储 mysql 密码,这一点一直让我感到困扰。
这些年过去了,是否有更好的方法呢?
到目前为止,我想出了两种最小安全增强措施:
使用 .htaccess 规则使文件在 Web 上不可读(以防 PHP 失败或存在安全漏洞以读取 PHP 源代码)。
在数据库连接完成后销毁内存中的密码(unset)(以防止安全漏洞、注入等导致的字符串泄露)。
但当然,这两种方法都不能解决原始问题。
谢谢您提供的其他想法!
backup.(tgz|zip)
文件存在呢? - mvds