json設定ファイルにデータベース作成パスワードを設定する

Question

データベースパスワードをjson設定ファイルに保存することは悪い習慣ですか？

同様：

production.json

{ 
    "database": { 
    "user": "...", 
    "pass": "... 
    } 
} 

？

もしそうなら、それを避けるには？私は多くの人々がそれをやっているのを見ます、これは本当に危険ではありませんか？

ありがとうございました。

Answer 1

GitHub、Bitbucketなどのパブリックリポジトリに自分の資格情報や秘密を指定してconfig.json/production.jsをアップロードすると悪いことがあります。間違った人がデータベースに書き込むためのアクセス権を持っている可能性があります。パスワードをunhashする機能など

これを回避するためのいくつかの方法があります：あなたがレポジトリに変更をプッシュするとき

1. ので、あなたの.gitignoreファイルにあなたのproduction.json/production.jsを追加、資格情報を押し上げることはありません
2. テンプレートproduction.jのままにしておきます息子/ DATABASE_USER、DATABASE_PASSWORDのようなホルダーとユーザー、パスワード、および秘密のフィールドを埋めproduction.jsファイル、APP_SECRET（より一般的な）

あなたのコードを使用するには、別のユーザーのために、彼らはどちらか（それぞれ）になります。

1. 右のconfig production.json/production.jsファイルを取得するためにメッセージをする必要が
2. は、あなたが自分のデータベース・ユーザーに充填付属のテンプレートをもとに、独自のproduction.json/production.jsファイルを作成し、パスワードとアプリの秘密（より一般的）

物事をクリアする希望。

Answer 2

パスワードがクリアであるかどうかは関係ありません。誰かが設定を見ることができるなら、彼/彼女はおそらくプログラムを見て、とにかくDBに接続する方法を考え出すことができます。設定が本当に必要なプログラムによってのみ読み込み可能であることを確認してください。