请注意PHP程序里的敏感信息-php手册-PHP中文网

请注意PHP程序里的敏感信息

php中文网

发布： 2016-06-06 20:10:16

原创

1328人浏览过

何为敏感信息？简单点来说就是你不想让别人知道的信息，比如说数据库的地址，用户名，密码等等，此类信息往往知道的人越少越好。通常，PHP程序里的配置文件大致如下所示： ?phpreturn array( 'database' = array( 'host' = '192.168.0.1', 'username' = 'ad

何为敏感信息？简单点来说就是你不想让别人知道的信息，比如说数据库的地址，用户名，密码等等，此类信息往往知道的人越少越好。

通常，PHP程序里的配置文件大致如下所示：

<?php
return array(
    'database' => array(
        'host'     => '192.168.0.1',
        'username' => 'administrator',
        'password' => 'e1bfd762321e409cee4ac0b6e841963c',
    ),
);
?>

登录后复制

有时候出于某些原因，比如说代码审查，亦或者合作开发等等，第三方需要获取代码版本仓库的读权限，一旦授权，数据库的地址，用户名，密码等敏感信息就暴露了。当然也可以不在代码版本仓库里保存配置文件，取而代之是撰写文档进行说明，但我不喜欢这样的方法，因为如此一来，代码本身是不完整的。

如何解决此类问题呢？最直接的方法是把敏感信息从代码中拿掉，换个地方保存。具体保存到哪里呢？有很多选择，比如说通过nginx的fastcgi_param来设置：

fastcgi_param DATABASE_HOST 192.168.0.1;
fastcgi_param DATABASE_USERNAME administrator;
fastcgi_param DATABASE_PASSWORD e1bfd762321e409cee4ac0b6e841963c;

登录后复制

经过这样的映射后，我们的代码就不会直接包含敏感信息了：

立即学习“PHP免费学习笔记（深入）”；

<?php
return array(
    'database' => array(
        'host'     => $_SERVER['DATABASE_HOST'],
        'user'     => $_SERVER['DATABASE_USERNAME'],
        'password' => $_SERVER['DATABASE_PASSWORD'],
    ),
);
?>

登录后复制

此外，还可以通过php-fpm的env指令来设置：

env[DATABASE_HOST] = 192.168.0.1
env[DATABASE_USERNAME] = administrator
env[DATABASE_PASSWORD] = e1bfd762321e409cee4ac0b6e841963c

登录后复制

需要说明的一点是，这个设置必须放在主配置文件php-fpm.conf里，不能放到include指令设置的子配置文件里，否则会报错：「Array are not allowed in the global section」；另外一点，虽然是通过env设置的，但结果还是在$_SERVER里，而不是$_ENV。

非常淘淘宝客源码

本源码是我用过最好的淘客站源码。对于新站长很用帮助。重要!!注意上传完程序后要先登陆后台修改域名，否则会跳转到后台已设置的域名。使用方法1:将文件夹里面的文件上传至您的空间根目录(不要在本地测试，本地测试期间功能将被限制，首页模板显示不正常!)2:访问网址http://您的网址/admin 账号:admin 密码:admin3:填写您基本网站信息,以及重要的淘客相关信息声明：本程序使用权是本人

查看详情

…

通过nginx和php-fpm配置文件来解决问题的话，有一个缺点，仅对Web有效，如果通过命令行来运行，那么无法在$_SERVER里获取相关信息，不过这不算什么难事儿，只要写个公共的脚本正则匹配一下nginx或者php-fpm的配置文件，就可以动态的把这些信息映射到命令行环境，具体怎么搞就留给大家自己操作吧。

…

说明：?@Laruence?提醒了我，如果配置信息通过nginx的fastcgi_param来设置的话，当nginx和php交互时，会带来大量的数据传输（如此看来通过php-fpm的env来设置相对更有优势），鸟哥建议使用独立的扩展来搞定，比如「hidef」。如果你使用hidef的话，需要注意一点，hidef定义的常量通过phpinfo函数可以一览无遗，为了安全性，你应该在配置文件php.ini里禁用相关函数：「disable_functions = phpinfo」。

…

看起来还是hidef可用性更好些，具体选择就看客观情况而定吧，如果能够安装扩展，那么就推荐使用hidef，否则就推荐使用env的方法。

原文地址：请注意PHP程序里的敏感信息, 感谢原作者分享。