密码/商业秘密算法：它们在php文件中安全吗？

我的网站是用php文件建立的。我在这些文件中使用商业秘密算法，数据库的根密码也存储在这些php文件中。我的数据库用于存储许多客户的私人医疗数据

这被认为是一个安全的设置；任何人都可以从我的Web服务器下载php源代码，从而访问我的根mysql密码吗

我在ubuntu 8.04和mysql 5上运行Apache2.0和PHP5

---

谢谢。

您的服务器与服务器中最薄弱的一点一样安全

如果有人泄露了一个恰好能够读取该文件的帐户的弱密码，那么是的，现在他们有了您的根密码。如果您碰巧在代码中犯了错误（或使用了其他人的代码/程序的此类错误/“功能”），那么这也可能会损害它-是的，这两种情况都发生过

因此，作为一项基本预防措施，为该应用程序创建一个特定帐户，该帐户仅限于该应用程序可以访问的内容。如果它真的被破坏了，它就没有那么有用了

---

当然，根密码是最糟糕的选择。在安全审计中，保证这是一个即时失败。

如果您在美国存储医疗数据，您将受到特定的、严格的限制。其他国家也可能有类似的规定

如果不是专家，我严重怀疑您是否能够通过您描述的设置的安全审计。首先，在任何地方使用纯文本的根密码都是不好的做法。以未加密的形式存储任何敏感数据（如医疗记录）会导致任何黑客侵入您的网站，帮助他们获取数据。我怀疑HIPAA对保护所有医疗信息和患者身份信息有特定要求

---

这是一个严重的问题，可能会使您的公司承担严重责任。

是的，如果您的web服务器以某种方式配置错误，您的php源代码可能会“泄漏”（以文本形式传递，而不是执行）

由于某些web服务器出错导致php页面被交付而不是执行而导致代码泄漏。

关于

---

是的，这对于您的php是可能的 待“泄漏”的来源（作为 它是文本，而不是 执行）如果您的web服务器 配置错误

一个很好的预防措施是将所有的PHP文件（除了引导/索引文件）放在公共的\u html/htdocs/www或任何目录之外。
您可以使用ZendGuard之类的工具。
您可以简单地决定将敏感数据编译为PHP扩展（基本上，只有常量）

---

请记住，没有100%保护这样的事情。

只是出于好奇，你熟悉吗？

如果你是受保护的商标信息，那么最好的办法就是加密它，以及你存储的任何密码

这将确保即使有人闯入你的系统，他们也无法进入

您可以做两件事中的一件，一件是有一个特殊的密码保护页面，您可以在其中为具有加密对称密钥的公钥/私钥对粘贴私钥

这将确保除非您拥有正确的私钥，否则无法访问对称密钥

私钥可以存储在usb拇指驱动器上，因此您可以在将其粘贴到特殊网页后将其删除

完成此表单后，将立即读取对称密钥，并将其存储在全局变量中，以便应用程序中的任何页面都可以使用它

私钥在被用来限制写入硬盘驱动器的机会后会立即被清除

---

该系统并不完全完美，但应该能够通过安全审计，保护您的信息免受黑客的任何成功攻击。

为每个应用程序创建mysql用户，并为该用户提供正确工作所需的最低权限。上的大多数应用只需要选择、更新和删除。

您的mysql根用户具有超级用户的特权。假设您达到了最大连接限制。MySQL总是为超级用户保留最后一个连接，这样您就可以进入超级用户并管理box、终止连接等

---

如果您在web应用程序中使用root，那么您可能会被锁定在自己的数据库之外。

量化您对安全或安全的定义。军事层面？停止临时观察？它用于存储医疗数据。它必须是最高安全级别的。这是一个毫无帮助的答案。他是在编程和安全的背景下提出问题的，而不是在法律的背景下提出的。他的问题明确指出他在存储医疗信息。在美国和大多数国家，对存储医疗信息有非常具体的要求。在决定正确的编程方法之前，他需要了解这些需求。此外，我的回答概述了他当前安全实现的具体问题。