Q&A
PDOでmysqlに接続するプログラムを書いているのですが、
lang
1$pdo = new PDO('mysql:host=ホスト名;dbname=DB名;charset=utf8','ユーザー名','パスワード', 2array(PDO::ATTR_EMULATE_PREPARES => false));
のように、ユーザ名やパスワードを直接ソースコード上に書きたくありません。みなさんはユーザ名やパスワードはおのおの、mysqlのテーブルから読み込んで、複合化して使っているんですか?またユーザ名やパスワードはなんの関数で暗号化してテーブルに入れていますか?
回答3件
0
web系で、バックエンドのDBなんかに接続するための設定は、別ファイルに書き込んで、それを読み出して利用するのが常だと思います。
後は、サーバー上で設定ファイルに適切な権限をセットしてあげれば、問題が起こることは無いと思います。
(上の方がおっしゃっているように、ソースが見える状態なら一緒なので、ぶっちゃけハードコーディングしてもセキュリティ的には一緒)
PHPとのことなので、CakePHPみたいなWEBフレームワークの構成を参考にすると良いのでは?
投稿2015/06/13 03:40
総合スコア1901
0
Windows系ではDB接続の設定を暗号化する事はありましたが、Web系ではないです。
そもそもphpは暗号化していたとしてもコンパイルがされている訳ではないのでソースが見れる状態になっていたら複合化部分も分かるのでそれでアウトだと思います。
投稿2015/06/12 15:27
総合スコア1464
0
ベストアンサー
mysqlのテーブルから読み込んで
mysql に接続するためのユーザー名&パスワードを mysql のテーブルに入れていては本末転倒ではないでしょうか。
ユーザ名やパスワードはなんの関数で暗号化してテーブルに入れていますか?
mysql に接続するためのユーザー名やパスワードを暗号化したことはありません。
使っているフレームワークの適切な設定ファイルに平文で書いています。
恐らく、これを脆弱と考える人は少なく、一般的なことだと思います。
投稿2015/06/12 14:38
総合スコア4514
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。