一尘不染

将密码以纯文本格式存储在php变量或php常量中是否可行?

php

根据问题,将密码存储在php页面上是否安全,例如

$password = 'pa$$w0rd';

如果用户看不到它,那是安全的,对吗?

编辑:有人实际上建议使用哈希,但是,数据库服务器连接密码会出现问题,不是吗?


阅读 264

收藏
2020-05-29

共1个答案

一尘不染

简短的答案是“否”,并且取决于情况。

这是几乎从来没有一个好主意,以纯文本格式存储密码,尤其是在网络访问的位置,如果 没有
其他原因,而不是一个简单的服务器配置不当或回波在错误的地方可以将其暴露给世界。

如果必须存储密码(可能的话),则可以尝试将其存储在webroot之外,例如, /var/www/public_html/
/var/www/includes/密码放在此处将密码放在此处

甚至比让您需要密码的系统(例如,数据库包装器)返回已经实例化的对象更好。因此,$databasepassword您无需索要PDO对象,而是将数据库类存储在webroot之外。

“取决于”来自哪些攻击媒介会导致某人可以访问该密码文本,并要求它们已经位于您的文件系统中,如果是这样,您可能还是被搞砸了。

另外,如果它是您的超级机密订户内容的密码,那么,您丢失的只是一些订阅费,如果您的数据库是数据库,则可能有问题,如果这是您的网上银行详细信息,对您有好处。

密码保护的东西有多有价值?

2020-05-29