1

*この質問は非ローカルホスト用です。*私はウェブホストサービスを使用しています。私のパーソナルサーバーではありません。

mysql_connectを使用してデータベースのサーバーに接続するには、phpファイルを作成してWebホストのサーバーに保存する必要があります。このファイルには、(コード内に)サーバーのアドレスとユーザー名とパスワードが含まれている必要があります。

**$conn = mysql_connect("server", "username", PASSWORD);**

ページのコードを表示してこのphpファイルをダウンロードする人は誰でもパスワードを見ることができますが、これはセキュリティ上のリスクです。

データベースのサーバーのパスワードを保護するにはどうすればよいですか?

4

1 に答える 1

3

データベースのパスワードを保護するための適切なオプションは本当にありません。ユーザーとパスワードの組み合わせが、Web アプリケーションを実行するために必要なデータベースの部分にのみアクセスできるようにする必要があります。つまり、root パスワードにしないでください。Web アプリケーションで使用されていない他のデータベースがある場合は、別のログイン資格情報を持つ必要があります。

Web サーバーの構成が間違っていない限り、誰でも PHP ファイルをダウンロードしてコードを表示することはできません。また、可能であれば、ログイン認証情報を含むファイルを Web サーバーのドキュメント ルートの外に配置しinclude()て、誤って構成された Web サーバーによって誤って公開される可能性を減らします。

これは、ホスティング会社のシステム管理者を信頼するかどうかの問題です。

検索すると、暗号化された資格情報を別のサーバーに保存し、暗号化された接続を介して実行時にそれらを取得する試みの例が見つかる場合がありますが、それでも情報を復号化するためのキーは Web サーバーに保持する必要があるため、アクセス可能です。システム管理者。

Web ホストがファイルを自分だけが利用できるようにパーティション分割するのではなく、他のクライアント/顧客が利用できるようにしている場合は、すぐに新しいホストを見つける必要があります。

于 2011-07-21T19:05:13.410 に答える