Лучший способ сохранить пароли/конфиденциальные данные, необходимые для PHP -приложения/API на Apache (Production Env) [ ⇐ Apache

[Anonymous]

Я использую стек AWS. Я сольный разработчик, поэтому такие проблемы, как случайное ведение версий файла Secrets или не ограничивающие их разрешения R/W/X на сервере, являются меньшей проблемой. Мой PHP -код на самом деле просто API, поэтому его главная цель - поговорить с базой данных MySQL. Все мои ресурсы являются частными, построенные CloudFront (настолько реально, может ли кто -нибудь получить доступ к моему DB, если его пароль был обнародован?) phpinfo () < /code> может разоблачить его !! Есть шанс
, что PHP может потерпеть неудачу, и он служит открытым текстом! Используйте файл preset
config.ini, чтобы указать данные вашего соединения ... нет, это может быть
с чем -то вроде ini_get () < /code> /

Код: Выделить всё

get_config()

. Используйте Dotenv ... Нет, не в производстве !!! Другой должен был использовать любые методы выше + хэш/шифровать пароль и держать ключ отдельно, а затем расшифровывать по мере необходимости (он же для каждого запроса в моем случае, добавляя задержку каждый раз).

Я читал их все
Что я выучил, что я использовал, что я использовал. WebRoot, затем попросите PHP прочитать его (т.е. parse_ini_file () ). Проблема в том, что когда я тестирую с Curl , Apache, похоже, не может получить доступ к этому файлу, и я чувствую, что решение - каким -то образом разоблачить этот каталог/файл (в настройке Apache Vhost), что полностью побеждает цель. Или, может быть, я неправильно понимаю, как это работает. Разве это не добавило бы задержку к каждому запросу? Я видел кое -что о кэшировании секрета, но это существует только для Python и Java. Кроме того, я хотел бы избежать дополнительных затрат, пока я нахожусь в фазе разработки. Прежде всего, в документации явно говорится, что использовать это для временного доступа пользователя, что уже не так. Во -вторых, с дросселизмом в 200 запросах, это скорее головная боль для управления, потому что у меня недоисленные соединения. Таким образом, чтобы бороться с этим, я могу добавить системный таймер, чтобы принести новый токен каждые 10 минут, а затем написать в файл, и попросить моего PHP прочитать его. Но я чувствую, что это просто представляет новую единственную точку неудачи. Я недостаточно знаю о SystemD, таймерах и поведении EC2, чтобы гарантировать, что система всегда имеет допустимый токен для использования. Кроме того, это решение охватывает только безопасность паролей базы данных. Есть и другие секреты, ключи и файлы, которые необходимы приложению, но это необходимо оставаться в секрете для погружения в глаза, поэтому я ищу более общий подход. $ _Server ['my_password']) в php. Легко управлять, так как это файл в любом случае, но, по-видимому, доступен из Phpinfo () (любые другие источники?). (Примечание, я не знаю, как работает $ _ENV, или если это лучше, но я не могу заставить свою работу, я думаю, из -за настройки EGPCS, и я думаю, что добавление E может быть более риском в любом случае?)

Подробнее здесь: https://stackoverflow.com/questions/795 ... pache-prod