Local PHP Web App,如何保护数据库密码
Local PHP Web App, how to protect the database password
我正在尝试保护一个 PHP Web 应用程序,它 运行 是 WAMP 风格的本地安装。
目前,应用程序数据库的密码仅在 .php 文件中。我考虑过加密它们,但任何人都可以通过代码轻松地解密它们。
这不会 运行 在网络服务器上,它 运行 在用户的 PC 上。这里有没有人尝试过保护此类应用程序的安全,并且可能将已编译的程序发送到 return 密码,或者可能以某种方式使用了外部密钥库?
感谢您的想法。
澄清:数据库也在本地PC上。
如果您向客户/用户提供源代码,则无法保护数据库连接凭据。基本上,如果您的应用程序可以访问它并且源代码可供他们使用、阅读、解析,那么他们就拥有与软件相同的访问权限。
有很多非常强大的外部身份验证提供程序。 Firebase 和 OAuth 仅举几例。从技术上讲,没有系统是 100% 防黑客的,但 Firebase 和 OAuth 为未来的黑客提供了通往成功的艰难道路
在这种情况下,您可以使用 ENV 变量制作 .env 文件并在其中存储密码,然后在应用程序中调用它。
您可以在 Apache 配置文件中创建环境变量并在您的应用程序中从那里调用,这样更安全。
我正在尝试保护一个 PHP Web 应用程序,它 运行 是 WAMP 风格的本地安装。
目前,应用程序数据库的密码仅在 .php 文件中。我考虑过加密它们,但任何人都可以通过代码轻松地解密它们。
这不会 运行 在网络服务器上,它 运行 在用户的 PC 上。这里有没有人尝试过保护此类应用程序的安全,并且可能将已编译的程序发送到 return 密码,或者可能以某种方式使用了外部密钥库?
感谢您的想法。
澄清:数据库也在本地PC上。
如果您向客户/用户提供源代码,则无法保护数据库连接凭据。基本上,如果您的应用程序可以访问它并且源代码可供他们使用、阅读、解析,那么他们就拥有与软件相同的访问权限。
有很多非常强大的外部身份验证提供程序。 Firebase 和 OAuth 仅举几例。从技术上讲,没有系统是 100% 防黑客的,但 Firebase 和 OAuth 为未来的黑客提供了通往成功的艰难道路
在这种情况下,您可以使用 ENV 变量制作 .env 文件并在其中存储密码,然后在应用程序中调用它。
您可以在 Apache 配置文件中创建环境变量并在您的应用程序中从那里调用,这样更安全。