如何在 PHP 中保护数据库密码？

F

Farray

一些人将其误认为是关于如何在数据库中存储密码的问题。那是错的。它是关于如何存储让您访问数据库的密码。

通常的解决方案是将密码从源代码中移到配置文件中。然后将管理和保护该配置文件的工作留给您的系统管理员。这样开发人员就不需要知道任何有关生产密码的信息，并且在您的源代码管理中没有密码记录。

谢谢。如果我理解正确，则 php 文件将包含配置文件，允许它使用密码。例如，我创建了一个名为“app1_db_cfg.php”的文件，其中存储了登录名、密码和数据库名称。然后我的 application.php 页面包含“app1_db_cfg.php”，我在做生意！

我同意配置需要得到适当的保护。然而，知道如何做到这一点是系统管理员的事情，而不是开发人员的事情。在这种情况下，我不同意强加密的价值。如果你不能保护你的配置文件，是什么让你认为你可以保护你的密钥？

我更喜欢使用只允许从 Web 服务器访问数据库的数据库帐户。然后我不费心加密配置，我只是将它存储在 web 根目录之外。

我使用 apache 环境变量来设置路径，这样即使文件的路径在源代码中也是未知的。这也很好地允许根据服务器上的 Apache 设置为开发和生产使用不同的密码

请记住，即使存储在 Web 可访问目录之外的文件也必须由使用它们的脚本读取。如果有人包含该文件，然后从文件中转储数据，他们将看到密码。

k

kellen

如果您托管在其他人的服务器上并且在您的 webroot 之外没有访问权限，您始终可以将您的密码和/或数据库连接放在一个文件中，然后使用 .htaccess 锁定该文件：

<files mypasswdfile>
order allow,deny
deny from all
</files>

谢谢，这正是我想要的。

当然，但是如果有人拥有 shell 访问权限，那么无论如何，您的整个帐户都已被盗用。

这是不好的做法，因为您可能会不小心将凭据提交到存储库。

@Ankit：如果不友好的人可以将文件上传到服务器并执行它，那么服务器配置不正确。

@Porlune：开发人员应该让他们的版本控制系统忽略密码文件，即使用 .gitignore。但是，是的，应该小心包含敏感数据的文件。

F

Funk Forty Niner

最安全的方法是根本没有在您的 PHP 代码中指定的信息。

如果您使用的是 Apache，这意味着在您的 httpd.conf 或虚拟主机文件文件中设置连接详细信息。如果你这样做，你可以不带参数调用 mysql_connect()，这意味着 PHP 永远不会输出你的信息。

这是您在这些文件中指定这些值的方式：

php_value mysql.default.user      myusername
php_value mysql.default.password  mypassword
php_value mysql.default.host      server

然后你像这样打开你的mysql连接：

<?php
$db = mysqli_connect();

或者像这样：

<?php
$db = mysqli_connect(ini_get("mysql.default.user"),
                     ini_get("mysql.default.password"),
                     ini_get("mysql.default.host"));

请检查 ini_get('default values') php.net/manual/en/class.mysqli.php 的正确值

是的，但任何用户（或滥用编写糟糕的 php 脚本的黑客）都可以通过 ini_get() 读取密码。

@Marki555 but any user (or a hacker abusing badly written php script) can read the password via ini_get() 你如何处理这个问题？

Marki555 的意思是可以运行 PHP 代码的攻击者也可以调用 PHP 函数，这显然是正确的，无法对此有所作为。我还想补充一点，我自己不再遵循我在这个答案中给出的建议，而是使用环境变量。不过这个概念是相似的：不要将您的凭据存储在代码中，而是以某种方式注入它们。使用 ini_get() 还是 getenv() 并不重要。

@DeepBlue 如果你可以注入 ini_get() 你也可以注入 file_get_contents(anypath) 。只要 php 有办法获取密码，任何恶意代码都可以。

d

da5id

将它们存储在 Web 根目录之外的文件中。

而且，正如在其他地方提到的，在源代码控制之外。

我们能把它包括进来吗？例如在 PHP 中我们可以做 include('../otherDirectory/configfile.conf') 吗？

你们都建议将凭据存储在 wwwroot 之外。好的，我了解安全背景。但是它应该如何存储在版本控制中（示例配置）？通常 wwwroot 是 git repo 的根目录，所以如果外面有任何东西 - 它将在 VC 之外。想象一下新开发人员试图建立一个本地实例进行开发——他怎么会知道“拿这个文件，把它复制到外面并填写”这样的魔法？

@TheGodfather 这个想法是新开发人员应该拥有自己的开发环境凭据。尽管在代码中包含说明或注释的自述文件指示您应该如何配置它（但不是实际数据）是一个很好的做法。

p

pdavis

对于极其安全的系统，我们在配置文件中加密数据库密码（该文件本身由系统管理员保护）。在应用程序/服务器启动时，应用程序会提示系统管理员输入解密密钥。然后从配置文件中读取数据库密码，解密并存储在内存中以供将来使用。仍然不是 100% 安全，因为它存储在解密后的内存中，但在某些时候你必须称它为“足够安全”！

@RaduMurzea 这太荒谬了。你什么时候听说过系统管理员死了？他们就像麦当劳一样，只是突然出现/消失！

@Radu Murzea 只要有 2 个或更多管理员，那么您就可以像突袭阵列一样拥有奇偶校验。一次发生多个驱动器故障的可能性要低得多。

服务器重启时呢？唤醒管理员以让他们在..etc.etc 中输入密码所需的时间呢？哈哈

iam 100% 同意，这是使用 boot.properties 完成的 oracle weblogic

不确定“存储在内存中”是什么意思。 PHP Web 应用程序在内存中存储任何内容的时间通常不会超过响应查看页面的单个请求所需的时间。

N

Neil McGuigan

这个解决方案是通用的，因为它对开源和闭源应用程序都很有用。

为您的应用程序创建一个操作系统用户。请参阅 http://en.wikipedia.org/wiki/Principle_of_least_privilege 为该用户创建一个（非会话）操作系统环境变量，使用密码以该用户身份运行应用程序

优点：

您不会意外地将您的密码检查到源代码管理中，因为您不会意外地搞砸文件权限。嗯，你可以，但它不会影响这一点。只能由 root 或该用户读取。无论如何，Root 都可以读取您的所有文件和加密密钥。如果您使用加密，您如何安全地存储密钥？ Works x-platform 确保不要将 envvar 传递给不受信任的子进程

这种方法是 Heroku 提出的，非常成功。

B

Bob Fanger

如果可以在存储凭据的同一文件中创建数据库连接。在连接语句中内联凭据。

mysql_connect("localhost", "me", "mypass");

否则最好在连接语句之后取消设置凭据，因为不在内存中的凭据不能是 read from memory ;)

include("/outside-webroot/db_settings.php");  
mysql_connect("localhost", $db_user, $db_pass);  
unset ($db_user, $db_pass);

如果有人可以访问内存，那么无论如何你都搞砸了。这是毫无意义的虚假安全。在 webroot 之外（或至少受 .htaccess 保护，如果您在 webroot 之上没有访问权限）是唯一安全的选择。

@uliwitness - 这就像说有人可以用乙炔火炬切断您的网络运营中心的锁，这意味着门也是假安全。将敏感信息限制在尽可能严格的范围内总是有意义的。

echo $db_user 或打印 $db_pass 怎么样？即使是同一团队的开发人员也不应该能够弄清楚生产凭证。该代码不应包含有关登录信息的任何可打印内容。

@LukeA.Leber 有了适当的安全措施，锁应该不会增加进一步的安全性。锁只是为了降低设备被盗的可能性，但以防设备被盗，设备不应包含敏感和/或未加密的数据。

C

Courtney Miles

以前我们将 DB 用户/密码存储在配置文件中，但后来进入了偏执模式——采用深度防御策略。

如果您的应用程序受到威胁，用户将拥有对您的配置文件的读取权限，因此破解者有可能读取此信息。配置文件也可能陷入版本控制，或在服务器周围复制。

我们已切换到在 Apache VirtualHost 中设置的环境变量中存储用户/密码。此配置只能由 root 读取——希望您的 Apache 用户没有以 root 身份运行。

缺点是现在密码在全局 PHP 变量中。

为了降低这种风险，我们采取了以下预防措施：

密码已加密。我们扩展 PDO 类以包含用于解密密码的逻辑。如果有人阅读了我们建立连接的代码，那么很明显连接是使用加密密码而不是密码本身建立的。

加密密码从全局变量移动到私有变量中。应用程序立即执行此操作以减少该值在全局空间中可用的窗口。

phpinfo() 被禁用。 PHPInfo 是获取所有内容（包括环境变量）概览的简单目标。

“这个配置只能被root读取”——虽然设置的环境变量大概是每个人都可以读取的吧？

@MrWhite，env 变量只会为用户 Apache 运行设置。所以它绝对不是每个人都可读的。

J

Jim

如果您使用的是 PostgreSQL，那么它会自动在 ~/.pgpass 中查找密码。有关详细信息，请参阅 the manual。

V

Vagnerr

您的选择是有限的，因为您说您需要密码才能访问数据库。一种通用方法是将用户名和密码存储在单独的配置文件中，而不是主脚本中。然后确保将其存储在主网络树之外。那就是如果存在网络配置问题，导致您的 php 文件仅显示为文本而不是被执行，那么您还没有暴露密码。

除此之外，您在正确的线路上，对正在使用的帐户的访问权限最小。添加到那个

不要将用户名/密码的组合用于其他任何事情

将数据库服务器配置为仅接受来自该用户的 Web 主机的连接（如果数据库位于同一台计算机上，则 localhost 会更好）这样即使凭据被公开，除非他们具有其他访问权限，否则它们对任何人都没有用机器。

混淆密码（即使是 ROT13 也会这样做）如果某些人确实可以访问该文件，它不会进行太多防御，但至少它会阻止随意查看它。

彼得

A

Asi Azulay

我们以这种方式解决了它：

在服务器上使用 memcache，并打开来自其他密码服务器的连接。将密码（甚至所有已加密的 password.php 文件）和解密密钥保存到内存缓存中。该网站调用保存密码文件密码的 memcache 密钥并在内存中解密所有密码。密码服务器每 5 分钟发送一个新的加密密码文件。如果您在项目中使用加密的 password.php，则进行审核，以检查该文件是否被外部触摸或查看过。发生这种情况时，您可以自动清理内存，以及关闭服务器以供访问。

C

Chris

将数据库密码放在一个文件中，使其对提供文件的用户只读。

除非您有某种方法只允许 php 服务器进程访问数据库，否则您几乎可以做到这一点。

J

Jason Wadsworth

如果您谈论的是数据库密码，而不是来自浏览器的密码，标准做法似乎是将数据库密码放在服务器上的 PHP 配置文件中。

您只需要确保包含密码的 php 文件对其具有适当的权限。即它应该只能由网络服务器和您的用户帐户读取。

不幸的是，phpinfo() 可以读取 PHP 配置文件，如果有人碰巧留下一些测试脚本，幸运的攻击者将能够读取密码。最好将连接密码保留在 Web 服务器根目录之外的文件中。然后访问它的唯一方法是使用 shell 或执行任意代码，但在这种情况下，无论如何都会失去所有安全性。

@MarioVilas“phpinfo() 可以读取 PHP 配置文件”-我认为答案是指包含配置信息的任意 PHP 脚本，而不是 php.ini (config) 文件（我认为这是您的文件）参考）。这不会“被 phpinfo() 读取”。

@MrWhite 你当然是绝对正确的。我误解了将数据库凭据存储在 php.ini 本身中的答案。

e

e-satis

另一个技巧是使用 PHP 单独的配置文件，如下所示：

<?php exit() ?>

[...]

Plain text data including password

这不会妨碍您正确设置访问规则。但是如果您的网站被黑客入侵，“require”或“include”只会在第一行退出脚本，因此更难获取数据。

尽管如此，永远不要将配置文件放在可以通过 Web 访问的目录中。您应该有一个“Web”文件夹，其中包含您的控制器代码、css、图片和 js。就这样。其他任何内容都在脱机文件夹中。

但是 php 脚本如何读取存储在文件中的凭据？

您使用 fopen()，就像用于常规文本文件一样。

@e-satis 好的，它会阻止黑客做 require/include 但如何阻止做 fopen？

“这不会阻止您正确设置访问规则”

@e-satis，这很聪明。奇怪为什么没有人想到它。然而，仍然容易受到编辑器复制问题的影响。 feross.org/cmsploit

R

Raptor

只需将其放入某个配置文件中就是通常的做法。只要确保你：

禁止从网络外的任何服务器访问数据库，注意不要意外向用户显示密码（在错误消息中，或通过 PHP 文件意外作为 HTML 提供，等等。）

A

AviD

最好的方法是根本不存储密码！例如，如果您在 Windows 系统上并连接到 SQL Server，则可以使用集成身份验证使用当前进程的身份连接到数据库而无需密码。

如果您确实需要使用密码连接，请先对其进行加密，使用强加密（例如使用 AES-256，然后保护加密密钥，或使用非对称加密并让操作系统保护证书），然后将其存储在具有强 ACL 的配置文件（在 web 目录之外）。

再次加密密码没有意义。可以获取未加密密码的人也可以获取解密密码所需的任何密码。但是，使用 ACL 和 .htaccess 是个好主意。

@uliwitness我认为您可能误解了-“再次加密”是什么意思？这只是一种加密。而且您不希望使用密码短语（供人类使用）对其进行加密，而是使用强大的密钥管理，例如受操作系统保护，以这种方式简单地访问文件系统不会授予对密钥的访问权限。

加密不是魔术——您可以将密码存储在那里，而不是使用 ACL 保护 AES 密钥。访问 AES 密钥或解密密码没有区别，在这种情况下加密只是蛇油。

@MarioVilas 什么？如果密码是加密的，用操作系统保护的加密密钥，怎么没有区别？加密不是魔术——它只是将所有机密压缩到较小的加密密钥中。几乎没有蛇油，在这种情况下，它只是将所有秘密转移到操作系统中。

@AviD 操作系统为什么可以保护密钥而不是数据本身？答：它可以保护两者，所以加密并没有真正的帮助。如果只存储数据并派生加密密钥，例如，从必须由用户键入的密码中派生，情况会有所不同。

B

Bruno Guignard

实际上，最佳做法是将数据库凭据存储在环境变量中，因为：

这些凭据取决于环境，这意味着您在 dev/prod 中不会拥有相同的凭据。将它们存储在所有环境的同一个文件中是错误的。

凭据与业务逻辑无关，这意味着登录名和密码与您的代码无关。

您可以在不创建任何业务代码类文件的情况下设置环境变量，这意味着您永远不会犯将凭证文件添加到 Git 中的提交的错误。

环境变量是超全局变量：您可以在代码中的任何地方使用它们，而无需包含任何文件。

如何使用它们？

使用 $_ENV 数组：设置：$_ENV['MYVAR'] = $myvar 获取：echo $_ENV["MYVAR"]

设置：$_ENV['MYVAR'] = $myvar

获取：回声 $_ENV["MYVAR"]

使用 php 函数：使用 putenv 函数进行设置 - putenv("MYVAR=$myvar");使用 getenv 函数 - getenv('MYVAR');

使用 putenv 函数进行设置 - putenv("MYVAR=$myvar");

使用 getenv 函数 - getenv('MYVAR');

在 vhosts 文件和 .htaccess 中，但不建议这样做，因为它在另一个文件中，并且无法通过这种方式解决问题。

您可以轻松地删除一个包含所有环境变量的文件，例如 envvars.php，然后执行它（php envvars.php）并删除它。这有点老派，但它仍然有效，并且您在服务器中没有任何包含您的凭据的文件，您的代码中也没有凭据。由于它有点费力，框架做得更好。

Symfony 的示例（好吧，不仅仅是 PHP）现代框架如 Symfony 建议使用环境变量，并将它们存储在 .env 未提交的文件中或直接存储在命令行中，这意味着您可以这样做：

使用 CLI：symfony var:set FOO=bar --env-level

使用 .env 或 .env.local ： FOO="bar"

文档：

如何在 PHP 中保护数据库密码？

关注公众号

想领先一步获取最新的外包任务吗？

相似问题

平台

支持

友情链接

联系我们