php代码敏感数据,请注意PHP程序里的敏感信息

最新推荐文章于 2022-03-21 16:05:33 发布
最新推荐文章于 2022-03-21 16:05:33 发布
阅读量161 收藏
点赞数
文章标签: php代码敏感数据

何为敏感信息?简单点来说就是你不想让别人知道的信息,比如说数据库的地址,用户名,密码等等,此类信息往往知道的人越少越好。

通常,PHP程序里的配置文件大致如下所示:

return array(

'database' => array(

'host' => '192.168.0.1',

'username' => 'administrator',

'password' => 'e1bfd762321e409cee4ac0b6e841963c',

),

);

?>

有时候出于某些原因,比如说代码审查,亦或者合作开发等等,第三方需要获取代码版本仓库的读权限,一旦授权,数据库的地址,用户名,密码等敏感信息就暴露了。当然也可以不在代码版本仓库里保存配置文件,取而代之是撰写文档进行说明,但我不喜欢这样的方法,因为如此一来,代码本身是不完整的。

如何解决此类问题呢?最直接的方法是把敏感信息从代码中拿掉,换个地方保存。具体保存到哪里呢?有很多选择,比如说通过nginx的fastcgi_param来设置:

fastcgi_param DATABASE_HOST 192.168.0.1;

fastcgi_param DATABASE_USERNAME administrator;

fastcgi_param DATABASE_PASSWORD e1bfd762321e409cee4ac0b6e841963c;

经过这样的映射后,我们的代码就不会直接包含敏感信息了:

return array(

'database' => array(

'host' => $_SERVER['DATABASE_HOST'],

'user' => $_SERVER['DATABASE_USERNAME'],

'password' => $_SERVER['DATABASE_PASSWORD'],

),

);

?>

此外,还可以通过php-fpm的env指令来设置:

env[DATABASE_HOST] = 192.168.0.1

env[DATABASE_USERNAME] = administrator

env[DATABASE_PASSWORD] = e1bfd762321e409cee4ac0b6e841963c

需要说明的一点是,这个设置必须放在主配置文件php-fpm.conf里,不能放到include指令设置的子配置文件里,否则会报错:「Array are not allowed in the global section」;另外一点,虽然是通过env设置的,但结果还是在$_SERVER里,而不是$_ENV。

通过nginx和php-fpm配置文件来解决问题的话,有一个缺点,仅对Web有效,如果通过命令行来运行,那么无法在$_SERVER里获取相关信息,不过这不算什么难事儿,只要写个公共的脚本正则匹配一下nginx或者php-fpm的配置文件,就可以动态的把这些信息映射到命令行环境,具体怎么搞就留给大家自己操作吧。

说明: @Laruence 提醒了我,如果配置信息通过nginx的fastcgi_param来设置的话,当nginx和php交互时,会带来大量的数据传输(如此看来通过php-fpm的env来设置相对更有优势),鸟哥建议使用独立的扩展来搞定,比如「hidef」。如果你使用hidef的话,需要注意一点,hidef定义的常量通过phpinfo函数可以一览无遗,为了安全性,你应该在配置文件php.ini里禁用相关函数:「disable_functions = phpinfo」。

看起来还是hidef可用性更好些,具体选择就看客观情况而定吧,如果能够安装扩展,那么就推荐使用hidef,否则就推荐使用env的方法。

菏何
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP-温湿度数据定时刷新及可视化显示
05-07
利用纯PHP编写,基于Wamp环境下,可每秒读取数据库一行数据,并在界面上显示,同时具有图表显示和动态显示及数据计算的功能,修改相应数据库配置后可以直接使用。
PHP自毁程序(慎用)
10-23
注意,这样的自毁程序存在巨大的风险,尤其是在未备份的情况下。一旦运行,数据和文件将无法恢复,因此在使用前一定要确保已做好充分的备份,并且只在安全的环境中执行。在生产环境中,应避免使用此类程序,除非有...
php代码敏感数据,注意PHP程序敏感信息
weixin_28728279的博客
03-10 188
何为敏感信息?简单点来说就是你不想让别人知道的信息,比如说数据库的地址,用户名,密码等等,此类信息往往知道的人越少越好。通常,PHP程序的配置文件大致如下所示:有时候出于某些原因,比如说代码审查,亦或者合作开发等等,第三方需要获取代码版本仓库的读权限,一旦授权,数据库的地址,用户名,密码等敏感信息就暴露了。当然也可以不在代码版本仓库保存配置文件,取而代之是撰写文档进行说明,但我不喜欢这样的方法...
注意PHP程序敏感信息
climbs的专栏
10-25 516
何为敏感信息?简单点来说就是你不想让别人知道的信息,比如说数据库的地址,用户名,密码等等,此类信息往往知道的人越少越好。    通常,PHP程序的配置文件大致如下所示: <?php return array( 'database' => array( 'host' => '192.168.0.1', 'user' => 'admi
转:PHP程序敏感信息处理方法
weixin_34235457的博客
07-20 90
何为敏感信息?简单点来说就是你不想让别人知道的信息,比如说数据库的地址,用户名,密码等等,此类信息往往知道的人越少越好。 通常,PHP程序的配置文件大致如下所示: <?php return array( 'database' => array( 'host' => '192.168.0.1', 'user...
php发送敏感信息,PHP 新手入门指南 - 隐藏敏感信息
weixin_33138675的博客
03-12 98
我们编写的程序中,有时会涉及到连接数据库或一些账户以及口令等敏感信息,如果直接在程序中通过硬编码将会不安全也不容易维护,比如:class Connection{public static function make(){try {return new PDO('mysql:host=127.0.0.1;dbname=mytodo', 'root', '');} catch (PDOExceptio...
sql注入原理及php防注入代码.doc
01-12
在JavaScript中,可以在前端进行初步的过滤,但注意,这不能替代服务器端的验证,因为JavaScript可以被禁用或绕过。 在示例中的JavaScript代码展示了如何过滤一些常见的敏感字符,如分号、尖括号、双引号等,防止...
PHP实现连接mysql和增删改查(源代码
最新发布
04-29
注意,这的 `id` 和 `name` 应根据您实际的表结构进行修改。 ##### 3. 更新数据(Update) ```php $sql = "UPDATE mytable SET column1='updated_value' WHERE id=1"; if ($conn->query($sql) === TRUE) { ...
php从数据库读取数据,并以json格式返回数据的方法
10-18
注意,实际应用中应使用安全的凭据,避免硬编码敏感信息。 ```php $servername = "localhost"; $username = "root"; $password = "root"; $mysqlname = "datatest"; $json = ''; $data = array(); ``` 接下来,...
php下过滤HTML代码的函数
10-30
注意,虽然上述函数可以提高安全性,但它们并不能完全防止所有的XSS攻击。某些复杂的XSS攻击可能需要结合其他安全措施,例如Content Security Policy (CSP)、输入验证和输出验证等。同时,对于用户提交的富文本,...
注意PHP程序敏感信息处理
climbs的专栏
12-01 864
本文转自:http://huoding.com/2013/07/19/268 为敏感信息?简单点来说就是你不想让别人知道的信息,比如说数据库的地址,用户名,密码等等,此类信息往往知道的人越少越好。 通常,PHP程序的配置文件大致如下所示: <?php return array( 'database' => array( 'host' =
php 用*号处理敏感信息
weixin_43697366的博客
09-17 161
#处理敏感信息 *号隐藏 function dealPlainText($userInfo){ if(empty($userInfo)){ return ''; } if (!empty($userInfo['nickName'])) { $res = $userInfo['nickName']; }else if(!empty($u...
PHP中的敏感函数
熊猫在路上
09-09 1237
跟安全有关的敏感函数 在代码安全审计中,快速定位敏感函数,有助于帮助我们更快发现漏洞。这就通过实例方式说明一下敏感函数是如何运行的。 1.eval() 该函数把字符串当做php代码来计算,并且字符串必须是合法的php代码,要以分号结尾。 语法eval(phpcode) 实例: <?php eval('phpinfo();'); ?> 2.assert() 该函数会检查一个指定...
可疑文件:/member/buy_action.php,利用robots.txt找敏感文件教程
weixin_42509686的博客
03-12 451
robots.txt是一个协议,而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页...
php服务端接收特殊字符,解决PHP服务端返回json字符串有特殊字符的问题
weixin_28811757的博客
03-21 307
1. 问题描述在调用PHP后台接口发现后台接口返回的json字符串Gson一直解析不通过:List districts = null;if (!TextUtils.isEmpty(myString)){Gson gson = new Gson();try{districts = gson.fromJson(myString, new TypeToken>(){}.getType());}ca...
程序中的敏感信息如何优雅的处理?
u014389734的博客
10-16 537
我曾经写过一个用 Python 发送 html 邮件及附件的程序,分享在了网络上,面的收件人没有做隐藏处理,用的是我自己最常用的邮箱。然后,苦恼随之而来:我会不停的收到测试邮件(垃圾邮件)。问了其中一个发件人才知道有培训机构用这个教学,学员什么都不改直接运行,于是我就不停的收到邮件。 你可能不知道敏感信息硬编码在程序中会带来多大的麻烦。 我曾经写过一个用 Python 发送 html 邮件及附件的程序,分享在了网络上,面的收件人没有做隐藏处理,用的是我自己最常用的邮箱。然后,苦恼随之而来:我
PHPINFO中的敏感信息
Pr0m1se1n的博客
03-21 1231
渗透中应关注的PHPINFO中的重要敏感信息
代码安全/权限控制/敏感数据规范多多 - 第395篇
悟纤学院
11-03 6309
相关历史文章(阅读本文前,您可能需要先看下之前的系列????) 国内最全的SpringBoot系列之四 享元模式:共享女友-第355篇 助你写出更优雅的代码,让你的领导对你爱不释手 - 370篇 你是研发部门的领导,你还不知道如何制定程序中的规则吗?- 第378篇 OOP规范,居然还有这么多我不知道?- 第382篇 隶属于用户个人的页面或者功能必须进行权限控制校验。 用户敏感数据禁止直接展示,必须对展示数据进行脱敏。 用户求传入的任...
php如何防止页面中的敏感信息被提取
BigMonster's Blog
04-02 1259
今天在逛 二十四画生 的bolg的时候发现他提到"在asp.net中如何防止用户的敏感信息如email地址经常会被一些工具自动提取,一些非法用户就会利用所提取的Email大肆发送垃圾邮件".偶有心得,觉得这个办法非常不错,于是花了几分钟将其转换为php代码以备用.  代码清单如下:php代码清单:function CloakText($str){    //    $tmpStr = "";   
数值php代码,字节跳动解密敏感数据php代码-字节跳动小程序接入
06-07
由于您没有提供更具体的信息,我无法提供完整的解密代码。但是,以下是一个基本的字节跳动小程序接入示例代码: ```php <?php // 小程序 appid 和 secret $appid = 'your_appid'; $secret = 'your_secret'; // 从前端获取的加密数据和加密向量 $encryptedData = $_POST['encryptedData']; $iv = $_POST['iv']; // 获取 access_token $url = 'https://developer.toutiao.com/api/apps/token'; $params = [ 'appid' => $appid, 'secret' => $secret, 'grant_type' => 'client_credential', ]; $response = json_decode(httpGet($url, $params)); $accessToken = $response->access_token; // 解密数据 $url = 'https://developer.toutiao.com/api/apps/jscode2session'; $params = [ 'appid' => $appid, 'secret' => $secret, 'code' => $_POST['code'], ]; $response = json_decode(httpGet($url, $params)); $sessionKey = $response->session_key; $pc = new Prpcrypt($sessionKey); $result = $pc->decryptData($encryptedData, $iv); $data = json_decode($result); // 处理解密后的数据 // ... // httpGet 函数用于发送 GET 求 function httpGet($url, $params) { $url .= '?' . http_build_query($params); $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); $response = curl_exec($ch); curl_close($ch); return $response; } // Prpcrypt 类用于解密数据 class Prpcrypt { private $key; public function __construct($key) { $this->key = base64_decode($key . '='); } public function decryptData($encryptedData, $iv) { $decrypted = openssl_decrypt( base64_decode($encryptedData), 'AES-128-CBC', $this->key, OPENSSL_RAW_DATA, base64_decode($iv) ); return $decrypted; } } ``` 注意,上述代码仅用于演示目的,您需要根据自己的实际情况进行调整和修改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值