Làm thế nào để bảo mật mật khẩu cơ sở dữ liệu trong PHP?

Khi một ứng dụng PHP tạo kết nối cơ sở dữ liệu, thông thường nó cần phải vượt qua đăng nhập và mật khẩu. Nếu tôi đang sử dụng một lần đăng nhập cấp phép tối thiểu cho ứng dụng của mình, thì PHP cần biết thông tin đăng nhập và mật khẩu đó ở đâu đó. Cách tốt nhất để bảo mật mật khẩu đó là gì? Có vẻ như chỉ viết nó trong mã PHP không phải là một ý tưởng tốt.

Một số người đọc sai điều này như một câu hỏi về cách lưu trữ mật khẩu trong cơ sở dữ liệu. Điều đó là sai. Đó là về cách lưu trữ mật khẩu cho phép bạn truy cập cơ sở dữ liệu.

Giải pháp thông thường là chuyển mật khẩu ra khỏi mã nguồn vào một tệp cấu hình. Sau đó rời khỏi quản trị và bảo mật tệp cấu hình đó cho quản trị viên hệ thống của bạn. Bằng cách đó, các nhà phát triển không cần biết gì về mật khẩu sản xuất và không có bản ghi mật khẩu nào trong kiểm soát nguồn của bạn.

Nếu bạn đang lưu trữ trên máy chủ của người khác và không có quyền truy cập bên ngoài webroot của mình, bạn luôn có thể đặt mật khẩu và / hoặc kết nối cơ sở dữ liệu vào một tệp rồi khóa tệp bằng .htaccess:

<files mypasswdfile>
order allow,deny
deny from all
</files>

Cách an toàn nhất là không có thông tin được chỉ định trong mã PHP của bạn.

Nếu bạn đang sử dụng Apache, điều đó có nghĩa là đặt chi tiết kết nối trong tệp tệp httpd.conf hoặc máy chủ ảo của bạn. Nếu bạn làm điều đó, bạn có thể gọi mysql_connect () không có tham số, điều đó có nghĩa là PHP sẽ không bao giờ xuất thông tin của bạn.

Đây là cách bạn chỉ định các giá trị này trong các tệp đó:

php_value mysql.default.user      myusername
php_value mysql.default.password  mypassword
php_value mysql.default.host      server

Sau đó, bạn mở kết nối mysql của bạn như thế này:

<?php
$db = mysqli_connect();

Hoặc như thế này:

<?php
$db = mysqli_connect(ini_get("mysql.default.user"),
                     ini_get("mysql.default.password"),
                     ini_get("mysql.default.host"));

Lưu trữ chúng trong một tập tin bên ngoài web root.

Đối với các hệ thống cực kỳ an toàn, chúng tôi mã hóa mật khẩu cơ sở dữ liệu trong một tệp cấu hình (chính nó được bảo mật bởi quản trị viên hệ thống). Khi khởi động ứng dụng / máy chủ, ứng dụng sẽ nhắc quản trị viên hệ thống về khóa giải mã. Mật khẩu cơ sở dữ liệu sau đó được đọc từ tệp cấu hình, được giải mã và được lưu trong bộ nhớ để sử dụng trong tương lai. Vẫn không an toàn 100% vì nó được lưu trữ trong bộ nhớ được giải mã, nhưng bạn phải gọi nó là 'đủ an toàn' tại một số điểm!

Giải pháp này là chung, trong đó nó hữu ích cho cả ứng dụng nguồn mở và đóng.

1. Tạo một người dùng hệ điều hành cho ứng dụng của bạn. Xem http://en.wikipedia.org/wiki/Principl_of_least_priv đặc quyền
2. Tạo biến môi trường HĐH (không phiên) cho người dùng đó bằng mật khẩu
3. Chạy ứng dụng như người dùng đó

Ưu điểm:

1. Bạn sẽ không kiểm tra mật khẩu của mình để kiểm soát nguồn một cách tình cờ, vì bạn không thể
2. Bạn sẽ không vô tình làm hỏng quyền truy cập tập tin. Vâng, bạn có thể, nhưng nó sẽ không ảnh hưởng đến điều này.
3. Chỉ có thể được đọc bởi root hoặc người dùng đó. Root có thể đọc tất cả các tập tin và khóa mã hóa của bạn bằng mọi cách.
4. Nếu bạn sử dụng mã hóa, làm thế nào bạn lưu trữ khóa một cách an toàn?
5. Hoạt động nền tảng x
6. Hãy chắc chắn không vượt qua envvar cho các tiến trình con không tin cậy

Phương pháp này được đề xuất bởi Heroku, người rất thành công.

nếu có thể tạo kết nối cơ sở dữ liệu trong cùng một tệp nơi thông tin đăng nhập được lưu trữ. Nội tuyến các thông tin trong câu lệnh kết nối.

mysql_connect("localhost", "me", "mypass");

Mặt khác, tốt nhất là bỏ đặt thông tin đăng nhập sau câu lệnh kết nối, vì thông tin đăng nhập không có trong bộ nhớ, không thể đọc được từ bộ nhớ ;)

include("/outside-webroot/db_settings.php");  
mysql_connect("localhost", $db_user, $db_pass);  
unset ($db_user, $db_pass);  

Sự lựa chọn của bạn bị hạn chế như bạn nói bạn cần mật khẩu để truy cập cơ sở dữ liệu. Một cách tiếp cận chung là lưu trữ tên người dùng và mật khẩu trong một tệp cấu hình riêng biệt thay vì tập lệnh chính. Sau đó hãy chắc chắn lưu trữ bên ngoài cây web chính. Đó là nếu có một vấn đề cấu hình web khiến các tệp php của bạn được hiển thị đơn giản dưới dạng văn bản thay vì được thực thi, bạn không bị lộ mật khẩu.

Ngoài ra, bạn đang ở đúng dòng với quyền truy cập tối thiểu cho tài khoản đang được sử dụng. Thêm vào đó

• Không sử dụng kết hợp tên người dùng / mật khẩu cho bất cứ điều gì khác
• Định cấu hình máy chủ cơ sở dữ liệu để chỉ chấp nhận kết nối từ máy chủ web cho người dùng đó (localhost thậm chí còn tốt hơn nếu DB ở trên cùng một máy) Theo cách đó, ngay cả khi thông tin đăng nhập bị lộ, họ không thể sử dụng cho bất kỳ ai trừ khi họ có quyền truy cập khác vào máy móc.
• Làm xáo trộn mật khẩu (thậm chí ROT13 sẽ làm) nó sẽ không bảo vệ nhiều nếu một số người có quyền truy cập vào tệp, nhưng ít nhất nó sẽ ngăn việc xem thông thường.

Peter

Nếu bạn đang sử dụng PostgreSQL, thì nó sẽ ~/.pgpasstự động tìm mật khẩu. Xem hướng dẫn để biết thêm thông tin.

Trước đây chúng tôi đã lưu trữ người dùng / pass DB trong một tệp cấu hình, nhưng kể từ đó đã đạt đến chế độ hoang tưởng - áp dụng chính sách Phòng thủ trong Độ sâu .

Nếu ứng dụng của bạn bị xâm phạm, người dùng sẽ có quyền truy cập đọc vào tệp cấu hình của bạn và do đó có khả năng một kẻ bẻ khóa đọc thông tin này. Các tệp cấu hình cũng có thể bị cuốn vào kiểm soát phiên bản hoặc sao chép xung quanh các máy chủ.

Chúng tôi đã chuyển sang lưu trữ người dùng / pass trong các biến môi trường được đặt trong Apache Virtualhost. Cấu hình này chỉ có thể đọc được bằng root - hy vọng người dùng Apache của bạn không chạy bằng root.

Con lừa với điều này là bây giờ mật khẩu nằm trong biến PHP toàn cầu.

Để giảm thiểu rủi ro này, chúng tôi có các biện pháp phòng ngừa sau:

• Mật khẩu được mã hóa. Chúng tôi mở rộng lớp PDO để bao gồm logic để giải mã mật khẩu. Nếu ai đó đọc mã nơi chúng tôi thiết lập kết nối, thì rõ ràng kết nối đó sẽ được thiết lập bằng mật khẩu được mã hóa chứ không phải mật khẩu.
• Mật khẩu được mã hóa được chuyển từ các biến toàn cục sang biến riêng . Ứng dụng thực hiện việc này ngay lập tức để giảm cửa sổ có giá trị trong không gian toàn cầu.
• phpinfo()bị vô hiệu hóa. PHPInfo là một mục tiêu dễ dàng để có được cái nhìn tổng quan về mọi thứ, bao gồm các biến môi trường.

Đặt mật khẩu cơ sở dữ liệu trong một tệp, làm cho nó chỉ đọc cho người dùng phục vụ các tệp.

Trừ khi bạn có một số phương tiện chỉ cho phép quá trình máy chủ php truy cập cơ sở dữ liệu, đây là tất cả những gì bạn có thể làm.

Nếu bạn đang nói về mật khẩu cơ sở dữ liệu, trái ngược với mật khẩu đến từ trình duyệt, thì thông lệ tiêu chuẩn dường như là đặt mật khẩu cơ sở dữ liệu trong tệp cấu hình PHP trên máy chủ.

Bạn chỉ cần chắc chắn rằng tệp php chứa mật khẩu có quyền thích hợp trên nó. Tức là nó chỉ có thể đọc được bởi máy chủ web và tài khoản người dùng của bạn.

Chỉ cần đặt nó vào một tập tin cấu hình ở đâu đó là cách nó thường được thực hiện. Chỉ cần chắc chắn rằng bạn:

1. không cho phép truy cập cơ sở dữ liệu từ bất kỳ máy chủ nào bên ngoài mạng của bạn,
2. Cẩn thận không vô tình hiển thị mật khẩu cho người dùng (trong thông báo lỗi hoặc thông qua các tệp PHP vô tình được phục vụ dưới dạng HTML, vân vân.)

Chúng tôi đã giải quyết nó theo cách này:

1. Sử dụng memcache trên máy chủ, với kết nối mở từ máy chủ mật khẩu khác.
2. Lưu vào memcache mật khẩu (hoặc thậm chí tất cả tệp password.php được mã hóa) cộng với khóa giải mã.
3. Các trang web, gọi khóa memcache giữ mật khẩu tệp mật khẩu và giải mã tất cả các mật khẩu.
4. Máy chủ mật khẩu gửi một tệp mật khẩu được mã hóa mới cứ sau 5 phút.
5. Nếu bạn sử dụng password.php được mã hóa trong dự án của mình, bạn sẽ thực hiện kiểm toán, kiểm tra xem tệp này có được chạm bên ngoài không - hoặc được xem. Khi điều này xảy ra, bạn có thể tự động dọn dẹp bộ nhớ, cũng như đóng máy chủ để truy cập.

Một mẹo bổ sung là sử dụng tệp cấu hình riêng biệt của PHP trông giống như sau:

<?php exit() ?>

[...]

Plain text data including password

Điều này không ngăn bạn đặt quy tắc truy cập đúng cách. Nhưng trong trường hợp trang web của bạn bị hack, một "yêu cầu" hoặc "bao gồm" sẽ thoát khỏi tập lệnh ở dòng đầu tiên để lấy dữ liệu thậm chí còn khó hơn.

Tuy nhiên, đừng bao giờ để các tệp cấu hình trong một thư mục có thể được truy cập qua web. Bạn nên có một thư mục "Web" chứa mã điều khiển, css, hình ảnh và js. Đó là tất cả. Bất cứ điều gì khác đi trong các thư mục ngoại tuyến.

Cách tốt nhất là không lưu trữ mật khẩu!
Ví dụ: nếu bạn đang sử dụng hệ thống Windows và kết nối với SQL Server, bạn có thể sử dụng Xác thực tích hợp để kết nối với cơ sở dữ liệu mà không cần mật khẩu, sử dụng danh tính của quy trình hiện tại.

Nếu bạn cần kết nối với mật khẩu, trước tiên hãy mã hóa nó, sử dụng mã hóa mạnh (ví dụ: sử dụng AES-256, sau đó bảo vệ khóa mã hóa hoặc sử dụng mã hóa bất đối xứng và để HĐH bảo vệ chứng chỉ), sau đó lưu trữ nó trong một tập tin cấu hình (bên ngoài thư mục web) với ACL mạnh .