Меня всегда беспокоило то, что многим программам PHP требуется, чтобы пользователь хранил пароль mysql в виде обычного текста (в строке или константе) в файле конфигурации в корне приложения.
Есть ли лучший подход к этому после всех этих лет?
До сих пор я придумал два минимальных повышения безопасности:
-
сделать файл нечитаемым через Интернет, используя правила в .htaccess(в случае сбоя php или наличия уязвимости безопасности для чтения источника php)
-
уничтожить пароль в памяти после создания соединения db (unset) (чтобы предотвратить сброс строк из-за нарушения безопасности, инъекции и т.д.)
но, конечно, ни один из них не решает исходную проблему.
Спасибо за любые другие идеи!