保持管理员无法读取我的SQL用户名和密码

问题描述

|| 我有一个文件setup.PHP。 该文件具有MysqL用户名和密码。是否有任何方法使其无法读取或加密,从而使管理员也无法读取或可以读取但仍不知道密码?     

解决方法

        简短的答案是,出于实际目的,您可以使他们更难以访问它,但并非没有可能。 如果某人对服务器文件系统具有完全访问权限(例如,具有root权限),那么他们可以从该文件系统读取任何数据,因此他们可以读取代码和您放置在该文件系统上的任何数据文件。由于在该主机上运行的应用程序需要能够使用凭据,因此没有有效的方法来阻止具有对该服务器的完全访问权限的人读取它们。 您可以对它们进行混淆,使其变得更困难。如果您对setup.php文件中的凭据进行加密,然后将解密算法和密钥放在另一个php文件中,它将阻止仅打开该文件并获得信誉的人,但是如果他们解决方案,他们总是可以对该解决方案进行反向工程确定足够。 此外,如果他们完全控制了服务器,则可以使用数据包嗅探工具在使用凭据时获取凭据(除非您使用SSL之类的凭据对其进行加密)。 最终,如果有人正在运行应用程序并控制服务器,则您必须对其信任。 顺便说一句,在security.stackexchange.com上有一个stackexchange网站,是解决此类问题的好地方。     ,        在MySQL中创建一个新用户,并为该用户提供一些基本权限。然后,您将拥有两个用户,您的管理员帐户和具有限制特权的用户帐户。 您也可以通过相同的方法拒绝查看setup.php所在的文件夹,在操作系统中创建其他用户以限制对该文件夹的限制