- 主题:php连mysql的密码写在源代码里没问题么?
其它任何语言不都是一样的问题吗?
【 在 tgfbeta (捅一脑残酸菜面) 的大作中提到: 】
: php通过mysqli连接数据库,但是这个连接密码都是明文。
: 虽然是从一个config.php读的,但是权限啥的貌似都跟其他脚本一致。
: 如果php因为某种原因breach了,mysql密码差不多也就漏了吧?
: ...................
--
FROM 101.224.45.*
安全性从10000提高到10001,同时引入管理和运维上的大麻烦,何必呢。
一般数据库都限制只有内网才能访问,能访问db基本也拿到shell了。
在shell被人搞定之后,一切安全都是扯淡了,格盘重装是必须的。
【 在 tgfbeta (捅一脑残酸菜面) 的大作中提到: 】
: 我想了想,觉得如果能这么搞稍微安全一点:
: 用一个什么闭包一类的函数对象单例,在启动时手工或者通过某种途径传入这个玩意,每次调用生成一个连接mysql的socket。不过modphp貌似是没办法这么玩吧?不同实例好像不能这么共享,感觉要做一些ipc之类的妖孽才能达成。
--
修改:Orpherus FROM 101.224.45.*
FROM 101.224.45.*
托管环境也有自己的内网网络,同一个机架上别的主机访问不了的。
如果是vps,同一个账户下的内网ip之间才通,有隔离。
托管怕的是有人进机房动你物理机,这种情况比较少见。
【 在 pengtu 的大作中提到: 】
: 我觉得这是一个经典问题,如果是机房托管环境,这会是主要资料泄露渠道。
:
--
FROM 101.224.45.*
用脚趾头想想,你的服务器不开个门,他们如何动动鼠标就能访问?
能不需要你配合就备份,除非买的是vps,或者用了他们的SAN。
这种情况下面可以直接把db拷走,然后把数据库root密码一重设。
这跟脚本语言没关系,Java和C++也用xml/ini等文本配置文件。
把账号密码编译进二进制是愚蠢的做法,高手面前形同虚设。
脚本喜欢把配置写代码里,那是因为编译型语言不容易做到。
它其实是个增强型的xml/ini,而不是跟运行相关的代码本身。
【 在 pengtu (土人·春秋) 的大作中提到: 】
: 机房想拿不需要动物理机,动动鼠标就可以了。
: 很多机房都提供一个服务,什么 7xN 的备份,想拿密码不需要干扰在线服务,只要对这个备份浏览就可以了,所以,一定要避免简单的明文密码。这是脚本类语言的弱点。
--
FROM 101.224.45.*