如何在PHP脚本中使用户/通过安全?


How to make user/pass secure in php scripts?

我的申请是一个网上购买的网站。i(php服务器)将收集客户端的请求并将其发送到处理网关。网关不能直接与客户机通信,它要求我的身份验证详细信息与我进行通信。因为客户端需要在联机时从网关获得即时响应,所以我必须将我的身份验证详细信息放在服务器端的PHP脚本中。我知道那不安全。那么我怎样才能保证安全呢?

谢谢!


由于您的脚本必须能够获得支付网关的用户名/密码,无论您如何"安全"地存储它们,在某些时候,它们将以原始的未加密形式公开,即使只在内存中。

问题归根结底是你想花多少时间和精力来"保护"用户/通行证,而不是在妥协后花多少钱来清理。假设您花费2000美元的时间/精力来保护您的站点。这项努力得到了无人闯入的回报。然而,在一次闯入之后,它只会花费你100美元的罚款,所以你的净损失是1900美元。


实现这一点的一个基本方法是将auth详细信息放入一个文件,可能是init.inc,并将该文件放在web根目录之外。所以你可能

1
2
3
4
5
6
7
8
 - \site_directory\
      - \secure_include\
           - init.inc
      - \siteroot\
           - \css\
           - \includes\
           - \images\
           - login.php

这样至少在Apache+PHP解析器出现问题时,纯文本文件在Web浏览器中是不可查看的。