Wie um sicher zu speichern Sie ein Passwort in PHP-code?

Wie kann ich ein Passwort in PHP-code und garantieren, dass niemand die Anzeige der Seite im browser können es abrufen?

Ist: <?php $password = 'password' ?> genug? Gibt es eine bessere, sicherere Weg, dies zu tun?

  • vielleicht könnten Sie uns sagen, warum Sie wollen zu speichern Sie Ihre Passwörter in einer php-Datei. dies verursacht eine Menge Verwirrung in den Antworten
  • Ich entwickle ein script für einen Kunden. Ich bin mit einem 'test', Konto, da der client will nicht, dass niemand außer ihm das Kennwort kennen. Ich muss einen Weg finden, der es ihm erlaubt, leicht ändern Sie das Kennwort aus dem test-account zu sein, ohne mich zu kennen. Btw, hat dies keine Interaktion mit einer Datenbank.
  • Sie sind also die Speicherung von account-Informationen in einer php-Datei? wenn ja, die akzeptierte Antwort ist bei weitem nicht die beste. ein hash+salt ist der Weg zu gehen in diesem Szenario. Ihr Kunde könnte Euch den salted hash, und Sie hätte keine Möglichkeit zu wissen, sein Passwort (oder irgend jemand anderes)
  • Ich muss das client-Passwort für eine bestimmte Website melodramatically. Ich kann das nicht tun, wenn ich die hash-und salt-Passwort, oder kann ich? Danke.
  • ok, also Sie müssen das Kennwort zur Authentifizierung an einen anderen Dienst (wie ein Datenbank-Kennwort). so stellen Sie sicher, dass Sie Ihre Passwort-Datei, die nicht durchsucht werden (.htaccess oder außerhalb von document-root)
InformationsquelleAutor nunos | 2009-09-16
  1. 12

    hängt das Typ der Kennwörter, die Sie speichern möchten.

    • wenn Sie möchten, speichern von Passwörtern verglichen werden, z.B. mit einem $users array, dann Hashen ist der Weg zu gehen. sha1, md5 oder anderen Geschmack (hier eine übersicht)

      hinzufügen eines Salz - Konten für zusätzliche Sicherheit, da das Passwort wird nicht in der gleichen hash -

    • wenn Sie speichern möchten, ein Passwort für die Verbindung zu anderen Ressourcen wie eine Datenbank: Sie sind am sichersten, wenn Sie speichern Sie Ihre Passwörter außerhalb document root, also nicht erreichbar ist durch Browser. wenn das nicht möglich ist, können Sie eine .htaccess Datei zu leugnen, alle Anfragen von außerhalb

    • ich sehe nicht, wie die Speicherung der Passwörter außerhalb des document-root ändert sich wirklich nichts. Solange es in <?php - tags, dann wird es nicht an den client gesendet werden.
    • "nur", wenn die Dateien verarbeitet werden, die von PHP... Eine schob die PHP-Installation könnte dazu führen, dass Sie werden an den client senden in Klartext
    • Sowohl Facebook und Tumblr versehentlich ausgesetzt, die Ihre PHP-code über eine webserver-Fehlkonfiguration. Es kann Ihnen passieren, auch. techcrunch.com/2007/08/11/facebook-source-code-leaked staff.tumblr.com/post/3959106211/...
    InformationsquelleAutor knittl
  2. 6

    Ihre PHP-code wird (baring-Konfiguration Fehler) auf dem server verarbeitet werden. Nichts im <?php ?>; Blöcke immer sichtbar auf dem browser. Sie sollten sicherstellen, dass der deployment-server wird nicht angezeigt, syntax-Fehler an den client - also die Fehlerberichterstattung ist etwas nicht einschließlich E_PARSE, daß eine übereilte Bearbeiten der live-code (gebe es zu, wir alle tun 🙂 Leck einige Informationen.

    Edit: Der Punkt über die Speicherung in einer Datei außerhalb des document root) Exposition vermeiden, wenn Sie Ihre PHP-Konfiguration bricht ist sicherlich gültig. Wenn ich in PHP, hielt ich eine config.inc-Dateien außerhalb von htdocs, dass war required zur Laufzeit, und exportierte Konfiguration auf bestimmte Variablen (z.B. Passwörter).

    • das ist keine gute Lösung. und was ist, wenn Sie in einem team arbeiten, in der jeder Zugriff auf den sourcecode. Nein, Nein, Nein! hashing ist der Weg zu gehen
    • Wie funktioniert hashing helfen? Wenn die hash-Funktion ist genug, um eine Verbindung zu der "sichere" Ressource, wie ist das speichern des hash-jeder sicherer als das speichern das Passwort?
    • in der Regel gibt es zwei Szenarien. siehe meine Antwort, er spricht über die beiden
    • welche Art von Projekt ist das, wo einige team-Mitglieder müssen nicht admin-Zugriff auf das eigene system?
    • ...und wenn so ein team besteht - eine, wo man nicht trauen kann einer von Ihnen mit einem Passwort - das sollten Sie wirklich überdenken, die Zusammenarbeit mit Ihnen in den ersten Platz.
    • aber Sie würde nicht geben Sie Ihrem Arbeitsplatz ein Kennwort, die für alle in Ihrem team, habe ich Recht? better safe than sorry

    InformationsquelleAutor Adam Wright
  3. 2

    Gibt es viele Möglichkeiten, dies zu tun. Jedoch werden die Menschen nicht sehen können das Passwort, das Sie gespeichert (als text) in eine PHP-Datei, da PHP ist eine serverseitige Sprache, was bedeutet, dass, solange Sie nicht drucken Sie es aus dem browser, wird es unsichtbar bleiben.

    So ist es "sicher" ist.

    InformationsquelleAutor Jake
  4. 2

    Sagen wir mal Ihr Passwort "iamanuisance". Hier ist, wie zu speichern das Passwort im code. Nur slip dies in Ihrem Kopf-irgendwo.

    //calculate the answer to the universe
${p()}=implode(null,array(chr(0150+floor(rand(define(chr(ord('i')+16),'m'),
2*define(chr(0x58),1)-0.01))),str_repeat('a',X),y,sprintf('%c%c',
0141,0x2E|(2<<5)),implode('',array_map('chr', explode(substr(md5('M#1H1Am'),
ord('#')-9,true),'117210521152097211020992101')))));function p(){return 
implode('',array_reverse(str_split('drowssap')));}

    Nur in einem Fall ist es nicht ganz offensichtlich, dann können Sie leicht Zugang zu den Kennwort später auf als $password. Prost! 😛

    • igitt! security through obscurity funktioniert nicht. Zeitraum.
    • haha, dito. es war nur als Witz gemeint 😉
    InformationsquelleAutor brianreavis
  5. 1

    Speichern das Kennwort verschlüsselt. Nehmen wir zum Beispiel die Ausgabe von:

    sha1("secretpassword");

    ...und legen Sie es in Ihrem code. Noch besser, legen Sie es in Ihre Datenbank oder in eine Datei außerhalb des web-server-Verzeichnis-Struktur.

    • Putting Datenbank-Passwörter in der Datenbank-Aufrufe für einige ... interessante Probleme 🙂
    • +1 das ist die einzige vernünftige Lösung! Schande über alle anderen (D. H. php wird geparst, so kann man sehen, Ihre Passwörter zu :-S)
    • SHA ist nicht eine Verschlüsselung. Es ist ein hash-Algorithmus.
    • Wie funktioniert diese Hilfe? Man setzt das Passwort ermöglicht den Zugriff auf eine sichere Ressource. Wenn die hash-Funktion ist genug, um auf diese Ressource zugreifen, wie ist das speichern des hash-jeder sicherer als das speichern der raw-Passwort - beide ermöglichen den Zugriff?
    • verwenden Sie Salz: sha1 durchbrochen werden kann, ist mit einer rainbow-Tabelle relativ einfach.
    • Die meisten der Zeit, die Sie wollen, um zu speichern Passwörter in Ihrem code, Sie sind für die Verbindung zu Ressourcen wie Datenbanken, und ich habe nie gesehen, eine Datenbank übernehmen eine Hash-Passwort für eine Verbindung, bevor...

    InformationsquelleAutor Jeff Ober
  6. 1

    Wenn Sie abrufen können, die das Passwort innerhalb von PHP, dann ist es wieder auffindbar...

    Die einzige Sache, die Sie tun können, ist, sich zu bewegen Sie Ihr Kennwort ein, um ein "geschützter" Ort.

    Meisten hosting-Unternehmen bieten einen separaten Ort, wo können Sie Ihre DB-Dateien usw., und diese Lage wird nicht der Zugang über den browser. Sollten Sie die Speicherung der Passwörter gibt.

    Aber Sie sind immer noch auf dem server, und wenn jemand erhält Zugang zu Ihrem Rechner hat, dann hat er dein Passwort. (Er bekommt, um Ihre PHP -, der hat die Möglichkeit, Sie zu entschlüsseln, und er hat Zugriff auf die geschützte Datei -> er kann es Lesen)

    Also gibt es keine solche Sache wie eine "sichere Passwort"

    Die einzige option, die SIE haben, ist nicht die Speicherung der PASSWÖRTER für Ihre Benutzer etc... ich wütend, wenn ich einen Dienst abonnieren, und Sie boten an, schicken Sie mir mein Passwort per E-Mail, falls ich es vergessen. Sie speichern es in einer "Abrufbaren Weg", und das ist nicht etwas, was Sie tun sollten.

    Das ist, wo alle die das Hashen und Salzen kommt. Sie möchten veryfy, dass jemand auf eine Ressource zugreifen können. Damit Sie hash + Salz das Kennwort, und speichern Sie in der Datenbank für die BENUTZER, die Zugriff auf den Dienst, und wenn der Nutzer will, um Sie zu authentifizieren anwenden des gleichen Algorithmus zum erstellen der hash und vergleichen diese.

    • Genau... aber ich Frage mich, ob hinzufügen von beliebigen Schutzmaßnahmen können helfen, verringern die Haftung, wenn Passwörter gestohlen werden. Ich arbeitete mit einem Kerl, der Passwörter verschlüsselt auf eine Datenbank in den Feldern in der Datenbank. Ich bin immer noch verwirrt. Das machte es schwierig, mit zu arbeiten, wenn Sie wollten, dass die Anwendung auf eine andere Datenbank mit einem anderen Passwort.
    InformationsquelleAutor Heiko Hatzfeld
  7. 1

    Basic, wahrscheinlich nicht 100% wasserdicht, reicht aber für Allgemeine Zwecke:

    hash des Passworts (Salz für zusätzliche Sicherheit) mit Ihrer Lieblings-Algorithmus und speichert die hash (und das Salz). Vergleichen Sie gesalzen & Hash-input mit gespeicherten Daten, um zu überprüfen Sie ein Kennwort.

    InformationsquelleAutor Martijn
  8. 0

    PHP-code-Blöcke nicht abgerufen werden können, von Kunden, es sei denn, Sie Ausgabe etwas. Beachten Sie:

    <?php
   if($password=="abcd")
       echo "OK";
   else
       echo "Wrong.";
?>

    Benutzer kann sich entweder auf OK oder Falsch, sonst nichts.

    • Es sei denn, Sie versehentlich deinstallieren, PHP und der Apache startet servieren Sie es als plain-text, das ist. Gesehen, die passieren, ein paar mal!
    • Auch gibt es die allgegenwärtige Möglichkeit, sich zum Inhalt der Datei, indem Sie Dinge wie ../../../../../etc/passwd irgendwo in der URL :-). Aber zugegeben, das funktioniert, wenn Sie nicht darauf achten, was der Benutzer eingibt und haben etwas sensibler in einer Datei gespeichert.
    InformationsquelleAutor Cem Kalyoncu
  9. 0

    Ich im Allgemeinen nicht Vertrauen rohen PHP-code für die Passwörter für Dienste. Schreiben Sie ein einfaches PHP-Erweiterung zu release das Passwort. Dadurch wird sichergestellt, dass die arbeiten eingestellt Passwort, ist kostenlos, und es macht es ein zusätzlicher Schritt für einen kompromittierten Maschine gewähren von Zugriff auf die hacker die service.

    InformationsquelleAutor MathGladiator
  10. 0

    Vorgeschlagen, speichern Sie das Passwort mit sha1, gesalzen und gepfeffert

    function hashedPassword($plainPassword) {
    $salt = '1238765&';
    $pepper = 'anythingelse';    
    return sha1($salt . sha1($plainPassword . $pepper));
}

    vergleichen und dann die zwei Werte

    if ($stored === hashedPassword('my password')) {
   ...
}

    Und wenn Sie können nicht speichern Sie Ihre Hash-Passwörter, die außerhalb der root-server, denken Sie daran, apache anweisen, verbieten den Zugriff auf die Datei, in der Ihre .htaccess-Datei:

    <Files passwords.config.ini>
  Order Deny,Allow
  Deny from all
</Files>
    InformationsquelleAutor macjohn
  11. -1

    Ist der beste Weg, zu speichern Passwort über Ihr root-Verzeichnis. Wenn Sie beschließen, das Kennwort in der php-Datei dann kein Körper wäre in der Lage, anzeigen, weil php-Dateien sind excuted in den server. Aber wenn der server kein php unterstützen, dann werden diejenigen Dateien geliefert werden, die als text-Dateien und jeder kann das Passwort einsehen.

    • Und wo steckst du das Datenbank-Passwort?
    • Ordner/Verzeichnis root-Verzeichnis, so dass niemand direkt im browser.
    • Also, was ist deine Antwort? Die Speicherung des Passwortes in der Datenbank oder speichern es in einer Datei über dem Dokument-root?
    • geändert, aber ich dachte, dass er gefragt wurde über die Benutzer-login-Passwort nicht mit dem Kennwort für die Datenbank.
    InformationsquelleAutor Mohamed
Schreibe einen Kommentar