【发布时间】:2019-05-02 01:07:13
【问题描述】:
我在 Git 上有一个 PHP 项目,可以访问其他一些开发人员。
问题是。
1) 开发人员对项目进行更改并将其推送到服务器或上传到测试服务器。
2) 开发人员登录测试或生产机器运行此脚本。
如何保护数据库密码?
如果我制作一个配置文件,他们可以简单地添加一个 echo "" 命令并获取密码。
有什么解决办法吗?也许在linux中具有组/用户权限?
谢谢。
【问题讨论】:
-
如果你不信任你的开发者,你就不能运行他们的代码。
-
您可能不会找到一种万无一失的方法来执行此操作,并且由于您正在与其他开发人员合作,因此隐藏此数据的简单方法可能行不通。解决方案:不要让任何你不信任的人访问你的项目
-
如果您的应用程序可以访问数据库,并且您的开发人员可以访问您的应用程序,那么您的开发人员可以访问您的数据库。
-
相信是的。但是,如果某个开发人员现在很活跃并且过了一段时间之后,那会发生什么?将数据库密码更改为所有机器?这很痛苦。而且造成损害的风险很大。
-
这更像是一个系统管理问题。如果他们有权访问服务器,则使用公钥/私钥对授予他们 SSH 访问权限。当他们离开时,通过删除他们的公钥来撤销他们的访问权限。最后,设置防火墙,防止数据库端口被应用程序和数据库服务器以外的任何人访问。这将确保即使有密码,他们也无法使用它。
标签: php database security passwords hide