2012-05-03 27 views
0

私は情報を収集するためにユーザーのMSSQLデータベースに接続するWebサイトを開発しています。ユーザーは、さまざまなMSSQLデータベースアカウントに割り当てられ、MySQL DB内に格納されているIP、ユーザー名、およびパスワードを使用してそれらに接続します。MySQLデータベースにMS SQL Serverの資格情報を保存する

現在、私が得たのは、AESがPHPを必要に応じて暗号化/復号化することです。それだけで正しいとは思わない。データベースを見ることでプレーンテキストのパスワードを見ることができなくなりますが、それはセキュリティレベルでは売れません。

パスワードを再入力する必要がない場合は、ハッシングは素晴らしいですが、私はそうします。だから私は、サイトのこの特定の側面に妥当なレベルのセキュリティを実装する方法について実際にはわからない。

どのような提案も素晴らしいでしょう。私は完全に間違っていて馬鹿です。これを行うには、はるかに優れた方法がありますか?

+0

なぜパスワードをもう一度表示する必要がありますか?おそらく、この要件を回避する方法がありますか? –

+1

セキュリティが心配な人は、パスワードをプレーンテキストで見る必要はないと思いませんか? – maiorano84

+0

クライアントのSQLサーバーデータベースに接続して情報を取得する必要があります。私はそれを行う別の方法はありませんが、私はこれもかなり新しいです。 –

答えて

1

明らかに、MS SQLにパスワードを送信している場合は、値を元に戻す必要があります。私は暗号化がここで最も正しい答えだろうと思うだろう。どちらの方法でも、あなたのコードは引き続きこのパスワードを外挿することができます。そうしないと、接続できません。

セキュリティを強化したい場合は、ユーザー名から計算されたチェックサムで暗​​号化を行うことができます。ただし、ユーザー名が変更された場合は、復号化して再暗号化する必要があります。これは、あなたがAESを使用していることを知っているかもしれない「他の人たち」のために、少し難しくなります。

しかし、一日の終わりには、解読する必要があるので、パスワードが何であるかを常に知ることができます。このような状況では非常に多くのことができます。必要なときに毎回パスワードを要求するのが最善です。

+0

だから私は今私が得たものにかなり固執するように見える。理想的には、ユーザーがデータベースに接続する必要があるたびにMSSQLのパスワードを要求できるようにしたいと思いますが、複数のユーザーが1つのクライアントデータベースに接続でき、パスワードを知ることはできません。しかし、ありがとう。 –

関連する問題