使用 user:pass 作为纯文本进行 MySQL 查询是否被认为是不好的做法?
我现在正在执行此操作(在 nginx/roundcube 中修改我的 dovecot 密码),但这看起来很奇怪,因为如果我在服务器上有其他系统用户,他们可以导航到配置,读取名称/密码文件并删除密码哈希和/或添加他们自己的。
建议的修复方法是简单地将所有敏感文件设置为 700 权限吗?我不确定这对于 Web 服务器上的某些文件有多灵活?
如果有人能帮我解决这个问题那就太好了:-)
答案1
风险在某种程度上取决于您如何运行 PHP 以及当时支持的文件系统权限。
至于密码是否为明文,据我所知,目前还没有办法避免在某处使用明文密码。
从 MySQL 5.6 开始MySQl 配置编辑器它允许您加密 MySQL 登录凭据,使它们不再以明文形式存储,但据我所知,典型的 PHP MySQL 库不会使用它,而且它比真正的不可逆哈希更具混淆性。