PHP安全-密码和凭据管理?
在阅读了一篇网站上的文章后,我真的很担心我自己服务器的安全 在一个PHP文件中,我的用户名和密码(在我的整个网站上使用-服务器根目录、mysql根目录等)以明文形式插入,该文件稍后会包含在我向用户显示的所有主要PHP页面中。。。有什么好担心的吗?任何人都可以读取php文件(比如下载并读取它,而不是让服务器执行它) 我的用户名和密码有被盗的风险吗?它们是给变量赋值的简单文本字段 如果是的话,你有什么建议吗?像加密引擎?还是什么PHP安全-密码和凭据管理?,php,security,encryption,Php,Security,Encryption,在阅读了一篇网站上的文章后,我真的很担心我自己服务器的安全 在一个PHP文件中,我的用户名和密码(在我的整个网站上使用-服务器根目录、mysql根目录等)以明文形式插入,该文件稍后会包含在我向用户显示的所有主要PHP页面中。。。有什么好担心的吗?任何人都可以读取php文件(比如下载并读取它,而不是让服务器执行它) 我的用户名和密码有被盗的风险吗?它们是给变量赋值的简单文本字段 如果是的话,你有什么建议吗?像加密引擎?还是什么 提前谢谢 将包含用户名和密码的配置文件存储在可公开访问的根文件夹之外
提前谢谢 将包含用户名和密码的配置文件存储在可公开访问的根文件夹之外 例如,如果根文件夹是
/home/username/public\u html/
,则将配置文件存储在/home/username/
中
您仍然可以在运行在public_html
中的PHP脚本中包含配置文件,但如果出现任何错误(即您的web服务器开始打印PHP脚本内容而不是处理脚本),则您的用户名和密码仍应是安全的
相关/可能重复:将这些文件保留在公共目录之外,以便永远无法从web上查看它们。还要确保权限设置正确,以便系统中的任何人都无法查看文件。最后,不要在服务器上存储登录凭据,而是使用openID。一个非常友好的openid库是LightOpenID。谢谢,我会试试这个。另外,我应该做什么来降低开销?就像我有一个页面:foo.php,其中包括mysql连接页面:来自系统根目录的connect.php,然后包括来自“credentials”文件夹的credentials.php?可以吗?就像系统资源一样,好吗?我不明白为什么不好;一个文件包括另一个。好的,谢谢!我将实施它,并希望它会顺利进行。我所说的开销是一个想法,一个请求可以访问3个文件。我在某个地方读到,一个用户请求一个大文件比多个小文件更可取。无论如何,谢谢你所做的一切!多个请求确实比请求一个大文件有更大的开销,但差异是绝对最小的;我们谈论的是数千秒,也许更少。