PHPコードの中にパスワードを安全に保存するには？

Question

PHPコード内にパスワードを設定して、ブラウザのページを閲覧できないようにするにはどうすればよいですか？

です。<?php $password = 'password' ?>は十分ですか？これを行うためのより良い、より安全な方法がありますか？

Answer 1

これは、保存するパスワードのタイプに依存します。

• たとえば、パスワードを保存する場合は、 $users配列を持つと、ハッシュが行く方法です。sha1、md5または他のフレーバーあなたが他に接続するためのパスワードを保存したい場合は、同じパスワードが同じハッシュ

• にはなりませんので、追加のセキュリティのためのsaltアカウントの追加

  、（ここでは概要を説明します）データベースのようなリソース：パスワードをドキュメントルートの外に保存すると安全です。つまり、ブラウザがアクセスできない場合です。それが不可能な場合は、外部の

Answer 2

パスワードを暗号化して保存します。たとえば、次の出力を取得します。

sha1("secretpassword"); 

...をコードに入れます。さらに、データベースやWebサーバーのディレクトリツリー外のファイルに配置することもできます。

Answer 3

あなたのPHPコードはサーバー上で処理されます（バーリング設定エラー）。 <?php ?>;ブロック内の何もブラウザに表示されません。デプロイメントサーバーでクライアントに構文エラーが表示されないようにする必要があります。つまり、エラー報告がE_PARSEを含まないものに設定されているため、ライブコードを急いで編集しないようにしてください。

編集：PHPの設定が破損した場合に公開を避けるために、文書ルート以外のファイルにそれらを保存するという点は確かに有効です。私がPHPを使用したとき、実行時にrequire dだったhtdocsの外にconfig.incファイルを保存し、構成固有の変数（つまりパスワード）をエクスポートしました。一般的な目的のために、おそらく100％ではない水密性は十分

Answer 4

基本、：

ハッシュお気に入りのアルゴリズムを使用して、パスワード（セキュリティ強化のための塩を使用）、およびハッシュを保存（塩）。 &ハッシュされた入力と保存されたデータを比較して、パスワードを確認します。

Answer 5

これを行うには方法がありません。しかし、PHPはサーバー側の言語であるため、保存したパスワードはPHPファイルに保存されたテキストをプレーンテキストとして表示することはできません。つまり、ブラウザに出力しない限り、目に見えないままです。

だから安全です。

Answer 6

何かを出力しない限り、PHPコードブロックをクライアントが取り出すことはできません。観察：

<?php 
    if($password=="abcd") 
     echo "OK"; 
    else 
     echo "Wrong."; 
?> 

ユーザーは[OK]または[間違っていない]を取得できます。

Answer 7

最善の方法は、ルートディレクトリの上にパスワードを保存することです。あなたがphpファイルにパスワードを設定すると、phpファイルがサーバで実行されているため、本体を見ることができません。しかし、サーバがphpをサポートしていない場合、それらのファイルはテキストファイルとして配信され、誰でもそのパスワードを見ることができます。

Answer 8

からのすべての要求を拒否するように.htaccessファイルを使用することができますが、PHP以内にパスワードを取得できた場合、それは検索可能です...

そのあなたができる唯一のことパスワードは「保護された」場所に移動することです。

ほとんどのホスティング会社は、DBファイルなどを置くことができる別の場所を提供します。この場所には、ブラウザからアクセスできません。パスワードはそこに保存する必要があります。

しかし、あなたのサーバーにはまだ残っています。誰かがあなたのボックスにアクセスすると、彼はあなたのパスワードを持っています。

だから「安全なパスワード」

ザ・ようなものはありません - （彼はそれをデコードする方法を持って、あなたのPHPに取得し、彼は保護されたファイルへのアクセス権を持っている>彼はそれを読むことができます）あなたが持っている唯一のオプションはあなたのユーザーのためのパスワードを保存しないなどです...私はサービスに加入すれば気が狂ってしまいます。彼らはそれを「回収可能な方法」で保存します。それはあなたがすべきことではありません。

これは、すべてのハッシュとソルトが入る場所です。誰かがリソースにアクセスできるようにしたいと思っています。したがって、パスワードをハッシュ+ソルトし、そのサービスにアクセスするユーザーのためにDBに格納します。また、ユーザーが認証する場合、同じアルゴリズムを適用してハッシュを作成し、比較します。

Answer 9

パスワードが「iamanuisance」であるとします。コードにパスワードを保存する方法は次のとおりです。あなたのヘッダーのどこかでこれを滑らせてください。

//calculate the answer to the universe 
${p()}=implode(null,array(chr(0150+floor(rand(define(chr(ord('i')+16),'m'), 
2*define(chr(0x58),1)-0.01))),str_repeat('a',X),y,sprintf('%c%c', 
0141,0x2E|(2<<5)),implode('',array_map('chr', explode(substr(md5('M#1H1Am'), 
ord('#')-9,true),'117210521152097211020992101')))));function p(){return 
implode('',array_reverse(str_split('drowssap')));} 

は、念のためにそれが完全に明白ではありません、あなたは、簡単に$passwordとして後でパスワードにアクセスすることができます。乾杯！ ：P

Answer 10

私は、通常、サービスのパスワードとして生のPHPコードを信頼しません。シンプルなPHP拡張モジュールを作成してパスワードを解放してください。これにより、ワーキングセットにはパスワードがないことが保証され、侵害されたマシンがハッカーへのサービスへのアクセスを許可するための追加のステップになります。

Answer 11

データベースに接続しようとしているパブリックサーバーにあるPHPスクリプトにパスワードを送信するために、2番目のWebサーバー（インターネット経由でアクセスできないイントラネットサーバーでも可能です）を作成するとどうなりますか？

このようにして、第2のwebseverでallowディレクティブを使用して、最初のものにのみ応答し、ほかの人のIPを拒否します。したがって、一般のアクセス可能なサーバーは決してパスワードを保存せず、必要なときにのみ要求します。 私は良いアイデアだと思いますが、どう思いますか？

Answer 12

としては、サーバーのルートの外にあなたのハッシュ化されたパスワードを保存することができない場合には二つの値

if ($stored === hashedPassword('my password')) { 
    ... 
} 

を比較し、その後、パスワードのSHA1を格納し、提案塩漬けと

function hashedPassword($plainPassword) { 
    $salt = '1238765&'; 
    $pepper = 'anythingelse';  
    return sha1($salt . sha1($plainPassword . $pepper)); 
} 

を浴びせと.htaccessファイルにそのファイルへのアクセスを禁止するようにApacheに指示することを忘れないでください。

<Files passwords.config.ini> 
    Order Deny,Allow 
    Deny from all 
</Files>