PHP:在.ini文件中存储敏感信息是好方法还是坏方法?
我有些困惑,需要一些解释 在我的实践中,我经常看到90%的PHP开发人员将所有敏感信息(如数据库连接、FTP、SMTP设置等)存储在一些变量、数组、对象或常量中 我想知道现在使用rootandstore中的ini文件更好吗?或者最好隐藏在某个地方.ini文件,并通过.htaccess进行denay访问PHP:在.ini文件中存储敏感信息是好方法还是坏方法?,php,security,ini,Php,Security,Ini,我有些困惑,需要一些解释 在我的实践中,我经常看到90%的PHP开发人员将所有敏感信息(如数据库连接、FTP、SMTP设置等)存储在一些变量、数组、对象或常量中 我想知道现在使用rootandstore中的ini文件更好吗?或者最好隐藏在某个地方.ini文件,并通过.htaccess进行denay访问 一般来说,我希望以最安全的方式保存这些敏感数据。没有完全安全的选择,但有些比其他更好 不要将敏感信息保存在项目的源代码中——您不希望在github上使用密码和API密钥 在数据库中保存敏感信息是可
一般来说,我希望以最安全的方式保存这些敏感数据。没有完全安全的选择,但有些比其他更好 不要将敏感信息保存在项目的源代码中——您不希望在github上使用密码和API密钥 在数据库中保存敏感信息是可以的,但是您仍然需要在某个地方存储数据库凭据,现在您又回到了起点 您可以将敏感信息保存在环境变量中。这些通常会设置在web服务器的配置文件中 在ini文件中保存敏感信息可以,前提是:
- 该文件具有所需的最低权限
- 该文件完全位于web服务器的文档根目录之外,因此无法直接提供服务。不要将该文件放在主目录中,然后使用.htaccess拒绝访问它
- 该文件未提交到源代码管理。如果您使用的是git,请编辑.gitignore,以便忽略该文件
- 运行web服务器进程的用户帐户不应该对其提供的文件具有写入权限
- 运行web服务器进程的计算机上的其他非特权用户不应具有对其所服务文件的读取权限