- 主题:php连mysql的密码写在源代码里没问题么?
我觉得这是一个经典问题,如果是机房托管环境,这会是主要资料泄露渠道。
【 在 Orpherus (奥路菲) 的大作中提到: 】
: 安全性从10000提高到10001,同时引入管理和运维上的大麻烦,何必呢。
: 一般数据库都限制只有内网才能访问,能访问db基本也拿到shell了。
: 在shell被人搞定之后,一切安全都是扯淡了,格盘重装是必须的。
: ...................
--
FROM 221.175.85.*
机房想拿不需要动物理机,动动鼠标就可以了。
很多机房都提供一个服务,什么 7xN 的备份,想拿密码不需要干扰在线服务,只要对这个备份浏览就可以了,所以,一定要避免简单的明文密码。这是脚本类语言的弱点。
【 在 Orpherus (奥路菲) 的大作中提到: 】
: 托管环境也有自己的内网网络,同一个机架上别的主机访问不了的。
: 如果是vps,同一个账户下的内网ip之间才通,有隔离。
: 托管怕的是有人进机房动你物理机,这种情况比较少见。
: ...................
--
修改:pengtu FROM 221.175.85.*
FROM 221.175.85.*
说到这里先打听一下,阿里云,新浪云,算不算vps啊? 就是底裤都可以被摸走到那种……
【 在 Orpherus (奥路菲) 的大作中提到: 】
: 用脚趾头想想,你的服务器不开个门,他们如何动动鼠标就能访问?
: 能不需要你配合就备份,除非买的是vps,或者用了他们的SAN。
: 这种情况下面可以直接把db拷走,然后把数据库root密码一重设。
: ...................
--
FROM 221.175.116.*
还有呢,就是SAN这个词不太熟,老一点是指 存储区域网 Storage Area Network;
新一点呢,可能是 Security Assistance Network;上贴应该指的是老条目,就是我说的备份机制吧
【 在 Orpherus (奥路菲) 的大作中提到: 】
: 用脚趾头想想,你的服务器不开个门,他们如何动动鼠标就能访问?
: 能不需要你配合就备份,除非买的是vps,或者用了他们的SAN。
: 这种情况下面可以直接把db拷走,然后把数据库root密码一重设。
: ...................
--
FROM 221.175.116.*