Публично видимый пароль базы данных на Github - проблема?

Question

Я использую сервер express, и я очень плохо знаком с базами данных. Если у меня есть репозиторий c publi на Github моего express сервера и эта строка кода общедоступна в одном из файлов:

const pool = new Pool({
  user: "postgres",
  host: "localhost",
  database: "postgres",
  password: "dummypassword",
  post: 5432
});

Могут ли люди каким-либо образом подключиться к моей базе данных PSQL используя мой 'dummypassword' и испортить учетные записи людей, которые хранятся в этой базе данных? Я планирую развернуть его в DigitalOcean, и мне интересно, может ли это быть проблемой позже, в будущем.

Спасибо:)

Answer 1

Если dummypassword - ваш настоящий пароль базы данных, тогда да, это абсолютно проблема. Вы бы буквально давали хакерам инструкции, как именно подключиться к вашей базе данных! Не делайте этого.

Изучите использование dotenv на npm. Это позволит вам создать файл .env, который может хранить эту ценную информацию на сервере вне контроля версий, т.е. Github.

https://www.npmjs.com/package/dotenv

Изложить в этом случае я всегда буду осторожен при работе с учетными данными базы данных. Скажем, кто-то получил доступ к этой информации, но это был не реальный пароль базы данных, а остальные учетные данные. Злоумышленник теперь знает, какую базу данных вы используете, где она находится, какой порт и имя пользователя. Все, что им нужно, это пароль, чтобы получить доступ ко всей вашей производственной базе данных и всей информации о ваших пользователях.

Answer 2

Я предполагаю, что вы говорите; может ли кто-нибудь подключиться к моей производственной базе данных, РАЗ, когда вы изменили пароль для своей производственной базы данных?

Если это так, то в вашем примере нет ничего, что не является значением по умолчанию, поэтому ответ - нет.

Если вы говорите, что "dummypassword" будет в производстве, то да, это НЕ будет хорошей идеей, но я предполагаю, что вы не говорите это.