我最近对我用 php 编码的网站进行了安全审计。 安全审计报告建议不要将硬编码凭据保存在虚拟主机的配置文件中。
我怎样才能将它存放在其他地方以保护它
【问题讨论】:
标签: php passwords config credentials hardcoded
确定您的情况。 多种保护配置文件的方法,具体取决于您的要求。
但是 - 没有系统是安全的
当您有自定义代码(例如:不要使用如此完整的框架)时,您创建了自定义配置文件。 您可以在 网络托管面板/公共根目录中包含公共目录之外的内容。
根据共享主机使用 apache(基于)作为他们的 Web 服务器, 您可以使用 .htaccess 来设置重要的环境,例如:
<IfModule mod_env.c>
SetEnv APP_ENVIRONMENT production
SetEnv DB_NAME database_name
SetEnv DB_PASS database_password
</IfModule>
另一个是隐藏你的文件并禁用访问/禁止点文件,例如:
.config.php
.configuration.php
.any-file-name-here.php
并禁用对 htaccess 文件中所有隐藏文件的访问。
# Deny access to hidden files - files that start with a dot (.)
<FilesMatch "^\.">
Order allow,deny
Deny from all
</FilesMatch>
返回 这取决于您的需求。 只要您尽最大努力使您的代码尽可能没有错误,配置文件就可以是安全的。
【讨论】: