структура папок веб-приложения для защиты незашифрованных паролей и базы данных sqlite

Question

Я создаю простое веб-приложение на Python с использованием web.py - и мне было интересно, каковы лучшие методы обеспечения безопасности приложения.

На этом этапе у меня было два основных вопроса:

1. Я хочу, чтобы приложение могло для отправки электронной почты - не размещены на GAE, но я думал, что простой Решения могут быть написать / найти Сценарий, который может отправить pop / imap mail и используйте gmail учетная запись. Это потребует от меня сохранить логин и пароль в сценарий, в текстовом виде. Это кажется неправильно и очень небезопасно - интересно какой лучший способ сделать это?

2. Веб-приложению требуется sqlite db, которые из коробки не предоставляют любая безопасность. Как я могу гарантировать, что люди просто не могут скачать весь файл базы данных?

Я полагаю, что оба приведенных выше вопроса сводятся к структуре файлов и разрешению - мне не удалось найти строгий учебник, и мне действительно любопытно, как люди обычно делают структурирование веб-приложений?

Большое спасибо

Answer 1

Очевидно, что не должно быть прямого доступа к файловой системе через HTTP-запрос.

И я почти уверен, что это невозможно, если вы все равно используете web.py. Когда вы создаете приложение с помощью web.py, вы создаете список регулярных выражений для URL-адресов, которые сопоставляются с классом, на который отправляется запрос. Пока каждый запрос к вашему веб-серверу отправляется на web.py, у вас не должно быть никаких проблем, поскольку все перечислено в этом списке URL-адресов.

http://webpy.org/tutorial3.en#urlhandling

В связи с этим я не стал бы слишком сильно беспокоиться о хранении паролей в конфигурационных файлах или исходном коде.