在哪里以及如何存储PHP可用的MySQL密码

我使用
PHP与单独的PDO访问数据库,它显然需要MySQL的用户名和密码.

我们都应该知道,用户名和密码不应该存储在公共目录中.

因此,我可以做一些像’some_path / my_secrets.php’这样的事情;它设置了一堆变量,但是这些变量可能是全局定义的,这不是一个好主意(在使用单例时,不是全局的,但仍然是).好的,我只能在某些功能中要求秘密文件,但要记住这一点很多……

有没有更好的方法使私有数据可用于PHP脚本?还有,我应该采取的任何其他步骤?谢谢

最佳答案 你的解决方案很好.

大多数建议的解决方案都被夸大了,尽管它们可能会提高安全级别,但是它们不值得付出额外的努力.

因为安全性不仅要依赖密码的保密性.充其量,即使密码被泄露,其知识对攻击者来说也毫无价值,因为他无法使用密码.

这意味着,使用专用于您的应用程序的MySQL用户以及principle of least privilege之后的权限,并且只允许从该应用程序的Web服务器访问数据库(请参阅MySQL Access Privilege System).

点赞