Безопасность параметров подключения к базе данных

Question

<?php 
class Database {

    private $host       = "localhost";
    private $username   = "root";
    private $password   = "";
    private $dbname     = "myapp"; 

    public $conn;

    public function DBConnection() {
        $this->conn = null;
        try {
            $this->conn = new PDO("mysql:host=" . $this->host . ";dbname=" . $this->db_name, $this->username, $this->password);

            $this->conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
            $this->conn->setAttribute(PDO::ATTR_DEFAULT_FETCH_MOD, PDO::FETCH_ASSOC);
            $this->conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
        } catch(PDOException $exception) {
            echo "Connection error: " . $exception->getMessage();
        }

        return $this->conn;

    }
}             
?>

Я использую описанный выше метод PDO для подключения к моей базе данных.Тем не менее, если я пытаюсь создать новый экземпляр этого класса на другой странице, скажите debug.php, например:

$db = new Database();

Он выбрасывает все параметры, включая мой пароль, в исходный код страницы.

Мой вопрос: каковы шансы того, что в результате этого будет нарушена безопасность моей базы данных?

Answer 1

Вы никогда не должны хранить учетные данные аутентификации (идентификаторы пользователей, пароли, ключи API) в своем исходном коде, особенно если вы используете систему контроля версий, такую ​​как git.Как только вы git push, любой, имеющий доступ для чтения к хранилищу, получает доступ для записи в базу данных.Существует несколько распространенных альтернатив:

1. Храните учетные данные в переменных среды, которые явно заданы в конфигурации веб-сервера.
2. Храните учетные данные в файле конфигурации (например, YAML илиINI-файл), который находится за пределами корневого каталога документов веб-сервера, а затем прочитайте этот файл в начальной загрузке вашего приложения.(И не включайте этот файл в репозиторий исходного кода!)