问题描述
我最近对用 PHP 编码的网站进行了安全审计。 安全审计报告建议不要在虚拟主机上的配置文件中保存硬编码凭据。
我如何将它存放在其他地方以保护它
解决方法
确定您的情况。 多种保护配置文件的方法,具体取决于您的要求。
但是 - 没有系统是安全的
当您有自定义代码(例如:不使用如此完整的框架)时,您创建了自定义配置文件。 您可以在网络托管面板/公共根目录中包含公共目录之外的内容。
根据共享主机使用 apache(基于)作为他们的网络服务器, 你可以使用 .htaccess 来设置重要的环境,例如:
<IfModule mod_env.c>
SetEnv APP_ENVIRONMENT production
SetEnv DB_NAME database_name
SetEnv DB_PASS database_password
</IfModule>
另一个是,隐藏您的文件并禁用访问/禁止点文件,例如:
.config.php
.configuration.php
.any-file-name-here.php
并禁止访问 htaccess 文件中的所有隐藏文件。
# Deny access to hidden files - files that start with a dot (.)
<FilesMatch "^\.">
Order allow,deny
Deny from all
</FilesMatch>
返回这取决于您的需求。 只要您尽最大努力保持代码无错误,配置文件就可以是安全的。