Q&A
tacsheavenさん、ご回答ありがとうございます。
無料の借り物サーバーなのでどんな方法があるのかまだわかりませんが、問題があるとはっきり分かったので勉強用ではなく実際に運用する場合には対処できるレベルにもっていきたいと思います。
ありがとうございました。
無料でPHP,MySQLを使える所でWeb系の勉強を始めて今PHPでMySQL(DB)に接続することをやっているのですが、接続自体は多くのサイトで解説されているので問題なく接続できたのですが、データベースへの接続情報(ユーザー名、パスワード等)をPHPファイルにそのまま書き込んでいます。
これは問題があるのではないかと検索してみたのですが、良いとも悪いともどちらも上手く見つける事が出来ませんでした。
DBに接続できているので技術的な話ではないかもしれませんが、よろしくお願いいたします。
回答3件
6
ベストアンサー
パスワードがGitツリーに残ってしまうと消すのすら厄介になるので、よく行われる手段として、「パスワードはPHPから環境変数などで取得して、ファイルには残さない」というものがあります。
投稿2016/12/15 05:54
総合スコア144634
5
どこかにパスワードを格納しなければならない以上、避けては通れない問題です
パスワードそのものを暗号化して保存しておいて、いちいち必要に応じて復号して使う、ことも可能ですが、諸々のコストに見合うものかどうか、という問題があります。
PHP に埋め込まれている場合、問題になりうるのは PHP のソースそのものが流出してしまうことによるパスワード漏洩ですから、逆にいえばパスワードを守るためには「PHP のソースを通常のアクセスでは取り出せないようにする」でもいいのです。
投稿2016/12/15 05:23
総合スコア13703
回答へのコメント
4
よくいわれるのはサーバーのトラブルでphpがプログラムとして実行できなくなった時
平文で表示されてしまうので重要なphpファイルはinclude_pathに置くようにということですね
また個人で運用していると面倒なのでrootで処理したくなりますが
参照ユーザーと編集ユーザーと管理ユーザーはわけてSQLを実行するように
心がけたいものです
投稿2016/12/15 05:44
総合スコア113624
回答へのコメント
yambejpさん、ご回答ありがとうございます。
私の借りているサーバーで、どの程度の環境設定が許されているのかまだ分かっていませんが、yambejpさんの内容を参考に調べてみたいと思います。
ありがとうございました。
あなたの回答
tips
プレビュー
下記のような回答は推奨されていません。
このような回答には修正を依頼しましょう。
また依頼した内容が修正された場合は、修正依頼を取り消すようにしましょう。
2016/12/15 06:21