1. Accueil
  2. Question et réponse
  3. Comment stocker en toute sécurité le fichier de configuration de mon site Web?

Comment stocker en toute sécurité le fichier de configuration de mon site Web?

2012-10-18 3 views
2

J'ai un fichier config.php pour mon site web que je stocke en dehors du répertoire web accessible au public et il contient mes informations de mot de passe pour un compte gmail. J'utilise pour envoyer du courrier pour le site et mes informations de connexion. Je n'aime pas l'idée de sauvegarder le mot de passe en tant que variable en clair et je cherchais un moyen d'enregistrer ces données de manière plus sécurisée. Au-delà de bloquer l'accès en lecture à l'annuaire d'utilisateurs autres que moi, que puis-je faire pour sécuriser cette information?Comment stocker en toute sécurité le fichier de configuration de mon site Web?

Source

2012-10-18 Rafie

+0

Stockez-le en dehors de la racine Web – Baba

+0

Sur quoi êtes-vous spécifiquement protégé? –

+0

Utilisez les fonctions d'envoi de courrier intégrées ou 'sendmail' à la place de votre compte Gmail. (En fait, pour tout ce que je sais, les fonctions d'envoi de courrier intégré utilisent 'sendmail'.) –

Répondre

3

Vous finirez par sauvegarder en texte clair la plupart du temps. Dites par exemple que vous voulez crypter, alors la clé à décrypter devra être sauvegardée en texte brut, etc., etc. Il vaut donc mieux s'assurer que votre serveur est sécurisé.

Source

2012-10-18 00:53:35 xelber

+0

ouais, à peu près tout. – Tivie

1

Cela dépend de ce que vous essayez de protéger.

  1. Garder votre fichier en dehors du htdocs (répertoire Webroot) est généralement une bonne idée pour que le fichier ne peut pas être appelé explicitement à l'extérieur. (I.E dirigeant le navigateur vers lui). Si vous souhaitez protéger $ var depuis votre code (code malveillant tiers), vous pouvez toujours supprimer les variables après leur consommation, même si je ne sais pas si cela fait une grande différence.

  2. Si vous voulez protéger le fichier de quelqu'un qui pourrait "pirater" votre serveur, vous ne pouvez pas faire grand-chose. Vous pouvez toujours définir les permissions du fichier pour que seulement www-data (votre utilisateur apache) puisse le lire mais si quelqu'un obtient un accès root à votre machine, vous êtes plutôt foutu.

Quoi qu'il en soit, si votre serveur est sûr (pas d'accès root à distance ou seulement par Shh avec les clés publiques/privées, vous ne pas utiliser votre serveur de PC publics, etc ...), vous ne utiliser le code d'un tiers sans l'inspecter d'abord et stocker le fichier de passe en dehors du répertoire webroot, je pense que vous êtes aussi sûr que vous pouvez l'être.

Source

2012-10-18 00:55:20 Tivie

+0

Ouais c'est à peu près la même conclusion que je suis venu aussi. Merci pour l'information! – Rafie

Questions connexes

 Questions connexes