使用环境变量、加密存储、权限控制和封装类保护PHP配置。首先将敏感信息移至环境变量并用getenv()读取;其次通过AES-256-CBC加密配置文件,密钥存于Web目录外;然后将配置文件移出Web根目录,设权限为600,并在Nginx中禁止访问.php文件;最后创建ConfigLoader类集中解密加载,避免敏感信息泄露。
如果您的PHP应用中包含数据库密码、API密钥等敏感信息,而这些信息直接暴露在配置文件中,则存在被非法读取和泄露的风险。以下是保护PHP配置文件及加密敏感信息的具体操作步骤:
一、使用环境变量替代明文配置
将敏感信息从PHP配置文件中移出,存储在服务器环境变量中,可以有效避免代码库泄露导致的信息暴露。PHP通过$_ENV或getenv()函数读取环境值,确保配置与代码分离。
1、在服务器上设置环境变量,例如Linux系统中编辑~/.bashrc或/etc/environment,添加如下内容:
export DB_HOST='localhost'
export DB_USER='root'
export DB_PASS='securepassword'
2、在PHP配置文件中使用getenv()获取值:
\$dbHost = getenv('DB_HOST');
立即学习“PHP免费学习笔记(深入)”;
\$dbUser = getenv('DB_USER');
\$dbPass = getenv('DB_PASS');
二、对配置文件进行加密存储
通过加密算法将配置内容加密后保存,运行时动态解密加载,可防止未经授权的直接读取。建议使用对称加密如AES-256-CBC,并将解密密钥存于外部安全位置。
1、编写加密脚本,使用OpenSSL加密配置数组:
\$config = ['db_user' => 'admin', 'db_pass' => 'secret'];
\$key = file_get_contents('/secure/key.bin'); // 密钥存放于Web根目录外
\$iv = openssl_random_pseudo_bytes(openssl_cipher_iv_length('aes-256-cbc'));
\$encrypted = openssl_encrypt(serialize(\$config), 'aes-256-cbc', \$key, 0, \$iv);
file_put_contents('/config/config.enc', base64_encode(\$iv . \$encrypted));
2、在应用启动时解密加载:
\$data = base64_decode(file_get_contents('/config/config.enc'));
\$iv = substr(\$data, 0, 16); \$cipherText = substr(\$data, 16);
\$decrypted = openssl_decrypt(\$cipherText, 'aes-256-cbc', \$key, 0, \$iv);
\$config = unserialize(\$decrypted);
三、限制配置文件访问权限
通过服务器权限控制防止Web用户直接访问配置文件,确保即使路径暴露也无法通过浏览器下载内容。
1、将配置文件放置在Web根目录之外,例如:
/var/www/config/database.php
2、设置文件权限为600,仅允许所有者读写:
chmod 600 /var/www/config/database.php
3、在Nginx中添加配置阻止访问特定扩展:
location ~ \.php$ { deny all; }
四、使用配置封装类动态加载
通过封装配置读取逻辑,集中管理解密与加载过程,减少敏感信息在代码中的暴露机会。
1、创建ConfigLoader类:
class ConfigLoader {
private static \$instance = null;
private \$config = [];
private function __construct() { \$this->load(); }
2、在load方法中实现解密逻辑并缓存实例:
public static function getInstance() {
if (self::\$instance === null) {
self::\$instance = new self();
}
return self::\$instance;
}
