php硬编码,关于安全性:如何在PHP中保护硬编码的登录名/密码?

最新推荐文章于 2022-04-08 17:12:32 发布
最新推荐文章于 2022-04-08 17:12:32 发布
阅读量197 收藏
点赞数
文章标签: php硬编码

我正在编写一个简单的PHP脚本来访问Foursquare API。 PHP将始终访问相同的Foursquare帐户。 目前,我的登录信息已硬编码在脚本中。 保护此信息的最佳方法是什么?

如果我遵循此线程的建议,则应将登录信息放在网站根目录之外的配置文件中:

如何在PHP中保护数据库密码?

这是最好的建议吗? 还是有更好的方法来保护登录信息?

当然,最好的方法是根本不存储它。

如果不能这样做,请将其存储在PHP文件中(作为变量)应确保不会将其发送到客户端。如果您对Web服务器突然停止解释PHP感到疑惑,可以将其放在文档根目录之外或拒绝访问的单独文件中(例如,通过.htaccess指令访问)。

+1-最好将其放在文档根目录之外的文件中。

(这里有特定于Linux的详细信息,因此,如果这不是您的平台,请原谅...)

如果您正在apache上运行并且可以访问配置文件(共享主机可能不是这种情况),则可以在VirtualHost配置(或httpd.conf或其他随附的配置文件)中放置如下一行:

SetEnv FOURSQUARE_PW"your password"

然后,您的php脚本可以在$_SERVER['FOURSQUARE_PW']处对其进行访问。

这样做的好处是您可以使配置文件只能由root用户读取,因为apache将使用init.d作为root用户启动。

我没有看到真正的优势。 您想阻止谁读取文件? 恶意的PHP脚本? 这些对象要做的第一件事通常是print_r($_SERVER)-不好意思。

我承认它有一个小的优势(如果有的话),具体取决于环境。 Web堆栈可能是最有可能破坏服务器的方法,但可能还有其他方法。 如果攻击者通过其他方式获得访问权限,则他们可能能够读取但不能写入网站文件...

将其作为变量存储在.php文件中,作为根目录之外的根目录中的一个文件名,这是不容易猜到的,这是一种确保凭证安全的合理安全方法。但是,如果您完全可以避免将其存储在服务器上,那将是最好的选择。提供一个登录页面,以根据需要将该信息输入以用于会话,然后在不再需要该信息时将其丢弃。

weixin_39541600
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php在线订单查询系统的项目的毕业设计方案
03-10
- 数据库连接:在实际应用,数据库连接信息(如主机名、用户名、密码和数据库名)不应硬编码在代码,而应使用环境变量或配置文件来存储,以提高安全性。 - 用户认证:除了密码加密存储,还应实现验证码、二次...
详细解读PHP的Yii框架登陆功能的实现
12-18
在实际开发,为了提高安全性,通常会将用户信息存储在数据库,并使用更复杂的哈希算法处理密码。同时,还会添加更多的功能,如验证码、记住我选项、密码找回等。Yii框架提供了丰富的组件和工具,让开发者能够...
php硬编码,PHP 使用硬编码检测文件 MIME
weixin_42612804的博客
03-10 232
很多系统重需要使用到文件上传功能,如果有人故意将文件的后缀名改成符合要求的文件,比如.exe改成.jpg文件,这样可以上传文件,但是却有别攻击的风险。我们可以根据文件的硬编码来检测文件的MIME类型,这样文件的类别就不会出错。主要思路是读取文件头的钱4个字节,参考文件硬编码,进行匹对:namespace App\Services\Tools;use App\Services\BaseService...
硬编码
TracyLiul的专栏
03-09 732
硬编码对于程序员来说都不陌生,只是个很简单的概念,但是它却常常出现在N多程序.在开发的时候,开发人员有时候图方便,赶进度,或者想不到更好的方法,只好将某些业务逻辑固定死,常见如下判断if (a == "拟制") { ....}也许好一些的会用数字代替 比如用个"02"代替,也许程序跑个1两个月甚至一两年都没问题但是需求更改或者用户环境变化了,那问题就会暴露,而且影响
php 藏数据库密码,在php保护数据库密码
weixin_39562752的博客
03-24 184
我是Web开发的新手.我很好奇人们是怎么做到的.我正在编写一些使用mysql DB的PHP代码.我现在在代码硬编码密码.所有开发人员都可以检查此代码,因此每个人都可以访问密码.对我来说似乎非常错误.最重要的是,我可以想到一些并发症.我以子弹形式列出问题 –>代码硬编码密码错误.我不希望所有开发人员都可以访问它,因为所有开发人员都可以查看代码.>如何区分生产和开发服务器/凭证?我...
【安全狗漏洞通告】Gitlab 硬编码漏洞解决方案
bocco的博客
04-08 2141
近日,安全狗应急响应心监测到Gitlab官方发布安全通告,披露了其Gitlab产品存在硬编码漏洞。漏洞编号CVE-2022-1162。
card.rar_aa0c88f3cd5d419d8_adcacb com_fac868.com_https://card.ba
07-14
它允许开发者将SQL语句写在XML配置文件或注解,与Java代码直接关联,既保留了SQL的灵活性,又避免了硬编码的困扰。MyBatis还支持动态SQL,使得条件查询等复杂操作变得简单易行。 在这个“card”项目,会员管理...
编码规范考试题答案.pdf
03-13
编码规范是软件开发至关重要的一个环节,它不仅关乎代码的可读性和可维护性,还直接影响到程序的安全性。以下是一些从题目提取的关键知识点: 1. **集合类的使用**: - 集合类在命名时应该体现出复数意义,...
工控安全职业证书技能实践:攻击事件攻击路径分析.pptx
07-13
比如,通过硬编码漏洞,攻击者可以直接访问系统保存的默认账户名和密码,或者进行DLL预加载攻击,如替换s7otbxsx.dll,从而实现对系统的Hook,获取对PLC的非法控制。 总之,工控安全不仅关注PLC硬件的物理安全,...
CAS_EXP:CAS硬编码远程代码执行漏洞
02-13
CAS硬编码远程代码执行突破 使用方式 java -jar cas-0.0.1-all.jar ----------------------- cas检测工具------------------------ --------- -----------本软件临时学习交流,如作他用所承受的法律责任一概与作者无关--------- ---------使用:jar -jar cas-0.0.1-all.jar ---由maobugs创建-------------------------------- 执行命令whoami ... 有效载荷是:AAAAIgAAABBrUgLwoiwOSTCDnal67lrrAAAABmFlczEyOG2E5KGXIUeDS4otbEU6mQufQIcYPEwC AzL9uqiZr4dOaap91C0EktTooeh7aMerjfA + HcOoYp6
根据输入邮箱号跳转到相应登录地址的解决方法
11-26
最后,由于是硬编码邮箱服务商的登录地址,未来如果这些地址发生变更,需要及时更新代码。 总结来说,这个解决方案提供了一种简便的方式,根据用户输入的邮箱地址自动跳转到相应的邮箱登录页面。虽然存在一些限制和...
php mysql 连接
06-19
- 在生产环境,应避免硬编码敏感信息如用户名和密码等。建议使用环境变量或配置文件来存储这些信息。 - 当连接失败时,`mysql_connect()`函数会返回`FALSE`,因此可以通过检查其返回值来判断连接是否成功。 - 使用...
密码图形界面:它是一个图形界面,带有一个输入密码的对话框-matlab开发
06-01
在实际应用密码管理应当更加安全,不应将密码硬编码到代码。通常,密码应该加密存储,并且在验证时进行哈希对比,但这超出了这个简单示例的范围。 在完成界面设计和代码编写后,我们需要保存 GUI 为一个 ...
flaskloginapp:使用Python Flask创建的简单登录应用
04-11
【描述】提到"要更改默认的硬编码登录名密码,请在“ application.py”文件编辑第16行",这表明这个登录应用的验证逻辑是在代码实现的,而不是通过数据库查询完成的。这种方式在开发初期或者测试环境很常见...
软编码和硬编码概念的区分与背后设计思想?
weixin_33982670的博客
04-10 447
昨天在查看NHibernate一个帮助文档,涉及到通过嵌入式读取配置文件消除对应用程序对文件名的硬编码,第一次听说硬编码名词概念,在CSDN看到一些人对于这些概念的讨论,与硬编码对应的是软编码,对于硬编码和软编码定义其实是相对而言的,如果你了解这些名词,应该能够感觉其实与应用程序的设计上时异曲同工.  举一个实例: 硬编码主要是关联很紧密的结构,而软编码是关联比较松的。从实现的层次上,也就是...
硬编码与软编码
热门推荐
方圆几里
11-07 1万+
硬编码:就是将数据直接写入到代码进行编译开发,比如在没有mybatits前,将sql语句写入到jdbc代码里,在比如纯jsp开发的过程,将前端的html代码与java代码耦合,这都是应编码,如果要发生更改的问题,就需要更改源代码,如果是C/S开发,就直接一位这,客户端的软件需要重新下载安装,非常不合理。 软编码:则是将数据与源代码解耦,比如mybatis的配置文件,将sql于底层代码分离,就只...
用html和php写登陆页面如何验证密码
最新发布
05-23
首先,需要在HTML页面创建一个表单,让用户输入用户名和密码。表单的代码如下所示: ```html <form method="post" action="login.php"> <label for="username">Username:</label> <input type="text" id="username" name="username"><br><br> <label for="password">Password:</label> <input type="password" id="password" name="password"><br><br> <input type="submit" value="Login"> </form> ``` 在提交表单时,数据将被发送到名为 "login.php" 的 PHP 脚本。在该脚本,我们可以使用以下代码来验证用户输入的密码是否正确: ```php <?php // 获取表单的用户名和密码 $username = $_POST["username"]; $password = $_POST["password"]; // 假设已经有一个用户列表 $user_list = array( "user1" => "password1", "user2" => "password2", "user3" => "password3" ); // 检查用户名和密码是否匹配 if (isset($user_list[$username]) && $user_list[$username] == $password) { echo "Login successful!"; } else { echo "Invalid username or password!"; } ?> ``` 在这个例子,我们假设已经有一个用户列表,包含了用户名和密码的对应关系。在 PHP 脚本,我们首先获取表单的用户名和密码,然后检查它们是否与用户列表的对应项匹配。如果匹配,则登录成功,否则返回错误消息。当然,实际上用户列表应该保存在数据库,而不是硬编码PHP 脚本
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值