Sicurezza durante la connessione a un database MySQL tramite PDO

3

Ho dato un'occhiata a questa domanda: Qual è il modo giusto di archiviare le stringhe di connessione del database dal punto di vista della sicurezza?

E mi chiedo in particolare per la connessione a un database MySQL con PDO, come posso essere più sicuro?

  1. Attualmente memorizzo la mia password in testo semplice in un file .php.
  2. Se la memorizzazione al di fuori della radice è ottimale, come posso includere questo file quando devo accedere al database in index.php, ad esempio?
posta user1114 30.12.2011 - 01:49
fonte

2 risposte

3

Usa include o include_once per includere qualsiasi cosa in PHP.

<?php
include_once("/etc/out-of-htdocs/password.php");
?>

Il codice PHP può accedere ai file, che non sono accessibili tramite un URL. Questo è il vantaggio per la sicurezza.

In caso di configurazione miss del modulo PHP è possibile che ogni file PHP venga consegnato senza valutazione, il che significa che la password è leggibile in tutto il mondo per tutti. Se il file PHP non è accessibile tramite un URL, un problema di configurazione del modulo PHP non ha alcun impatto sulla sicurezza della password.

    
risposta data 02.01.2012 - 20:31
fonte
1

Voglio aggiungere alla domanda originale - forse c'è un modo per non memorizzare la vera password in un file? Solo per mantenere un hash in esso, quindi se i file PHP in qualche modo vengono scaricati, l'attaccante non può fare molto.

Penso che non sia un esempio errato, perché a volte non è possibile archiviare il file di configurazione dalla directory accessibile via FTP, che può essere facilmente forzato.

    
risposta data 03.01.2012 - 00:13
fonte

Leggi altre domande sui tag