Q&A
yambejp様
返答ありがとうございます。
言われたことを調べていく中で下記のような記事を見つけました。
http://d.hatena.ne.jp/gorton-lab/20090213/1234514387
http://pentan.info/php/sample/mysql_connect_check.html
ただ、mysql_*関数は非推奨なんですね・・・。
mysqli_*なのかPDOなのか検討します。
PHPのソース内でmysql_connectでMySQLに接続をしていますが、ユーザー名やパスワードを直接コード内に記述しています。
セキュリティー上問題ないのでしょうか?
また、対策をするとしてどのような処理が必要なのでしょうか?
回答3件
0
ベストアンサー
結論から言って、問題ないとは言い切れないが、それに代わるあまり良い方法もなく、ソースコード内にハードコーディングするという方法は広く行われています。WordPress等が代表例ですが、これに限りません。
一般的なセキュアコーディング規約では、ソースコードに機微情報をハードコードするなと書かれています。例えば下記です。
ハードコードする代わりに、「以下の適合コードでは、セキュアなディレクトリに保存された設定ファイルからユーザ名とパスワードを読み取っている」と「良い例」が書かれていますが、これはまやかしだと思っています。セキュアなディレクトリって何よということですね。ウェブアプリからアクセスできる権限があれば、通常攻撃者からもアクセスできるからです。なので、パスワードを別ファイルにしても、あまり効果は見込ません。OS側で特別な仕掛けでもあればいいのですが、ウェプアプリから使える仕掛けは見たことがありません。強いて言えば、ハードウェアセキュリティモジュール(HSM)ですね。興味があれば検索してみてください。
なお、セキュリティ上問題というのは、万一サーバーに侵入された場合のはなしであって、侵入されない限りは問題ありません。なので、侵入された場合にデータベースのパスワードが見られてしまうことは、通常は許容しているわけです。
投稿2017/12/06 00:41
総合スコア11701
0
セキュリティー上問題ないのでしょうか?
問題はありますが、入力したユーザーやパスワードでmysqlにログインすることは
煩雑になるためあまり現実的な運用ではないので、基本的にスタティックに書かれた
テキスト情報を元にログインすることになり、多かれ少なかれ
「直接コード内に記述」するのと近い運用をすることになります。
もちろん編集ユーザーなどの細かい情報をユーザーが知る必要はないため
接続情報を半自動で渡してあげるのが一般的でしょう。
ソースが流出したときのことを考えて心ばかりの対策として
ユーザー情報は公開ディレクトリには置かないようにしましょう。
とはいえ・・・mysql_connectをご利用のことですが
mysql_*関数はプレースホルダーも利用できないので、セキュリティ云々を
気にするのであれば選択肢からは外れると思います
投稿2017/12/06 00:23
総合スコア114757
0
php-mysql をつかわずに php-mysqli を利用しましょう。
各サイト毎に php.ini( htaccess でもいいが ) を用意して以下を定義しましょう。
| KEY | DEFAULT VALUE |
|---|---|
| mysql.default_port | NULL |
| mysql.default_socket | NULL |
| mysql.default_host | NULL |
| mysql.default_user | NULL |
| mysql.default_password | NULL |
投稿2017/12/06 00:22
編集2017/12/06 00:23
退会済みユーザー
総合スコア0
asahina1979様
返答ありがとうございます。
言われた事の意味をググって大変勉強なりました。
.htaccessに対してphp.ini同等の設定が出来るとは知りませんでした。
ありがとうございました。
http://algorhythnn.jp/blg/2013/10/23/merit-php_value-on-apache/
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/12/06 01:32