Я знаю, что есть статьи об этом, я провел последние 48 часов, читая в основном все, что я мог найти. Проблема в том, что 95% из них-с 15-20 лет назад и это в значительной степени противоречивая информация. Я понимаю, что нет идеального решения, но я хотел бы приземлиться на приличное. Я сольный разработчик, поэтому такие проблемы, как случайное ведение версий файла Secrets или не ограничивающие их разрешения R/W/X на сервере, являются меньшей проблемой. Мой PHP -код на самом деле просто API, поэтому его главная цель - поговорить с базой данных MySQL. Все мои ресурсы являются частными, построенные CloudFront (настолько реально, может ли кто -нибудь получить доступ к моему DB, если его пароль был обнародован?) phpinfo () < /code> может разоблачить его !! Есть шанс
, что PHP может потерпеть неудачу, и он служит открытым текстом! Используйте файл preset
config.ini, чтобы указать данные вашего соединения ... нет, это может быть
с чем -то вроде ini_get () < /code> /
Код: Выделить всё
get_config()
Я читал их все
Что я выучил, что я использовал, что я использовал. WebRoot, затем попросите PHP прочитать его (т.е. parse_ini_file () ). Проблема в том, что когда я тестирую с Curl , Apache, похоже, не может получить доступ к этому файлу, и я чувствую, что решение - каким -то образом разоблачить этот каталог/файл (в настройке Apache Vhost), что полностью побеждает цель. Или, может быть, я неправильно понимаю, как это работает. Разве это не добавило бы задержку к каждому запросу? Я видел кое -что о кэшировании секрета, но это существует только для Python и Java. Кроме того, я хотел бы избежать дополнительных затрат, пока я нахожусь в фазе разработки. Прежде всего, в документации явно говорится, что использовать это для временного доступа пользователя, что уже не так. Во -вторых, с дросселизмом в 200 запросах, это скорее головная боль для управления, потому что у меня недоисленные соединения. Таким образом, чтобы бороться с этим, я могу добавить системный таймер, чтобы принести новый токен каждые 10 минут, а затем написать в файл, и попросить моего PHP прочитать его. Но я чувствую, что это просто представляет новую единственную точку неудачи. Я недостаточно знаю о SystemD, таймерах и поведении EC2, чтобы гарантировать, что система всегда имеет допустимый токен для использования. Кроме того, это решение охватывает только безопасность паролей базы данных. Есть и другие секреты, ключи и файлы, которые необходимы приложению, но это необходимо оставаться в секрете для погружения в глаза, поэтому я ищу более общий подход. $ _Server ['my_password']) в php. Легко управлять, так как это файл в любом случае, но, по-видимому, доступен из Phpinfo () (любые другие источники?). (Примечание, я не знаю, как работает $ _ENV, или если это лучше, но я не могу заставить свою работу, я думаю, из -за настройки EGPCS, и я думаю, что добавление E может быть более риском?>
Подробнее здесь: https://stackoverflow.com/questions/795 ... pache-prod