最近、後で複数の Web サーバーにアップロードする必要があるアプリケーションを作成する必要がありました。これを行うと、管理者パスとユーザー名をjsonファイルに保存するときにdb接続が必要ないため、常に機能することに気付きました。また、json 内に構成を保存するときは、アプリケーションを web サーバーにコピーしてから、ブラウザーに移動して構成を行うことができます。
これにデータベースを使用する場合、これをハードコーディングして構成する必要があります。データベース接続よりも、connect.php または config.php 内で宣言されます。アプリケーションをアップロードするとき、データベース接続がないため使用できません。また、アプリケーション自体からA db接続を設定することはできません。ログインできたとしても、密閉された車内の車のキーのようになるからです。
私のジレンマ:これは正しい方法ですか、これは節約ですか、これは効率的ですか、そして何よりも皆さんはこれをどのように行ったのですか。
管理者のログインと構成データを保存する最良の方法は何ですか
これは一般的であり、ソース管理にパスワードを設定するよりも優れているという Lynks の意見は正しいですが、これが設計中の運用システムである場合は、ユーザー認証に別のメカニズムを使用することを強くお勧めします。
ほとんどのデータベースでは、ローカル システムのユーザーとグループ、または外部 LDAP を使用してユーザー資格情報を管理できます。ほとんどのアプリケーション サーバーには、これに対するメカニズムもありますが、これは新しい問題ではありません。一部のシステムでは、信頼できるユーザーがパスワードなしでログインできるように、安全なキー (SSH キーなど) を作成できます。
実稼働システムのどこにでもパスワードをクリアにすることは悪い考えです。少なくとも、損失のあるハッシュ方法を使用してパスワードをスクランブルします。パスワードを扱う場合、パスワードを安全に保つために最善を尽くすのは、デザイナーおよび開発者としてのあなたの責任であることを忘れないでください。後であなたとあなたの顧客に深刻な恥をかかせる可能性がある簡単な解決策を決定する前に、すべてのオプションを評価してください. どのような技術を使用していますか? 利用可能なオプションを見つけるお手伝いができるかもしれません。
完全に孤立して生きているものは何もないことを忘れないでください。たとえば、これが重要なシステムではない場合でも、多くの場所でパスワードに特定のパターンが使用され、潜在的なハッカーが他のアカウントをハッキングする手がかりになります. 複数のユーザーのパスワードを管理している場合、一部のユーザーは多くのことに同じパスワードを使用しています。
この投稿は講義を目的としたものではありませんが、評判と顧客の安全を維持するために利用できるすべての手段を確実に検討してください. それを挑戦またはパズルと考えて、それに取り組んで楽しんでください。
通常の解決策は、パスワードをソース コードから構成ファイルに移動することです。次に、その構成ファイルの管理と保護をシステム管理者に任せます。そうすれば、開発者は運用パスワードについて何も知る必要がなく、ソース管理にパスワードの記録がありません。
言い換えれば、 aconfig.phpを含む aを持つことは完全に正常です。define("DB_PASS", "topSecret");
ファイルへのアクセスconfig.phpが正しく管理されていれば、この方法は安全です。