Начинающий изучающий PHP пытается использовать шифрование Salt

Question

Я пытаюсь собрать скрипт входа в PHP и заметил, что хранение моих слов базы данных в виде простого текста небезопасно.Безопасен ли мой файл connect.php?Как бы я использовал соль-шифрование в моем файле connect.php ниже?

Спасибо и извините за простой вопрос, я все еще очень плохо знаком с PHP.

<?php

if(!defined('INCLUDE_CHECK')) die('You are not allowed to execute this file directly');


/* Database config */

$db_host        = 'localhost';
$db_user        = 'randomuser';
$db_pass        = '123456';
$db_database    = 'randomdatabase'; 

/* End config */



$link = mysql_connect($db_host,$db_user,$db_pass) or die('Unable to establish a DB    connection');

mysql_select_db($db_database,$link);
mysql_query("SET names UTF8");

?>

Answer 1

Безопасен ли мой файл connect.php?

В некоторой степени - да.

Как бы я использовал соль-шифрование в моем файле connect.php ниже?

Вы не можете использовать "солевое шифрование" с вашим connect.php. Просто оставь это как есть.

Answer 2

Безопасен ли мой файл connect.php?

Вы можете зашифровать ваш connect.php с помощью ioncube ... http://www.ioncube.com/ ... для того, что он еще может защитить.

Мне нравится добавлять такие вещи в мой .htaccess:

* * 1010

Answer 3

Может быть, дополнительный ответ. Да, насколько я знаю, нет другого способа сохранить учетные данные подключения к базе данных, кроме как сохранить их в виде открытого текста.

Возможно, вы можете зашифровать свои учетные данные, используя схему шифрования, но если злоумышленник имеет доступ к вашим файлам (и вашей схеме шифрования), он может легко расшифровать ваши зашифрованные учетные данные.

Ваш connect.php находится в безопасности, пока вы держите его в безопасности. Некоторые предложения:

• Поместите connect.php вне корневого каталога веб-сервера (вы все еще можете включить его из любого другого скрипта), чтобы предотвратить доступ по HTTP
• Сохраните его php, не переименовывайте файл в любое другое расширение, которое будет обслуживаться веб-сервером как видимый текстовый файл
• Если хотите, вы можете защитить свой connect.php некоторыми .htaccess правилами

Answer 4

Это безопасно.
Это зависит от вашего хостинг-провайдера и его настроек.
Для защищенных проектов я рекомендую использовать как минимум VDS.

Answer 5

Сначала я рекомендую изучить несколько статей о шифровании, хэшировании и посоле, чтобы получить общее представление о том, что он делает, а что нет.

Википедия не знает всего этого, ностатьи там охватывают наиболее важные части.

• http://en.wikipedia.org/wiki/Encryption
• http://en.wikipedia.org/wiki/Cryptographic_hash_function
• http://en.wikipedia.org/wiki/Salt_(cryptography)

Пароли для скриптов php обычно не шифруются.Рекомендуется хранить его в отдельном файле конфигурации (например, config.php).Таким образом, это зависит от ваших системных администраторов.Это не только помогает вашей безопасности, такой внешний файл конфигурации облегчает портирование приложения.Большинство основных php-приложений, от механизмов форумов, CMS, календарей и т. Д., Используют эту архитектуру.