Webアプリケーションのメールサーバーにパスワードを安全に保存する方法

Question

ユーザーのパスワードを暗号化して保存することを意味するのではなく、password_hash（）を使用します。 私はPHPMailerでユーザのEメールを送信したいのですが、Eメールの資格情報はウェブアプリケーションを通じて設定可能で、サーバに保存されている必要があります（基本的にアプリケーションには独自のEメールアカウントがあります）。

この情報をデータベースに保存するのがベストプラクティスの場合、データベース内のユーザーの電子メールアドレスも暗号化しないでください。破損した場合でも、少なくとも侵入者にはメールアドレスのプレーンテキストのリスト？

私の他のアイデアは、資格情報をファイルに書き込むことでしたが、これはより安全であると考えられていますか？

私はMariaDB、Apache2、PHP7を使用しています。

編集：なぜstackoverflowが私の "Hello"を最初から削除したのですか？

Answer 1

通常、この種のパスワードはファイルに保存されます。それはあなた自身の結論を出してください、しかしあなたはあなたのWebアプリケーションの読み込み権限を持つファイルをWeb以外の場所に置くべきです（かなり明白ですが、それを述べることを好みます）。通常、このファイルはサーバーから外したときに暗号化する必要があります（何らかの理由でpwdファイルをコミットする必要がある場合）。このポリシーはかなり安全だと考えられています。

ある時点では、プレーンテキスト（たとえば、設定ファイルの場合はDBパスワード）で特定のpwdを持っています。正直なところ、DBへのアクセス権はメール送信サーバーにアクセスするよりもかなり悪いです

2番目の部分については、機密情報を暗号化することをお勧めします。ただし、sqlの暗号化されたデータを照会することはできません（まだ）ので、実際にこの機密データを「発見可能」にする必要がある場合は、その手順を踏む必要があります。

しかし、上記のように、これは賛成です。