PHPでデータベースパスワードを保護する方法

PHPアプリケーションがデータベース接続を確立するときは、もちろんログインとパスワードを渡す必要があります。アプリケーションに単一の最小権限のログインを使用している場合、PHPはそのログインとパスワードをどこかに知っている必要があります。そのパスワードを保護する最良の方法は何ですか？PHPコードでそれを書くだけでは良い考えではないようです。

何人かの人々はこれをデータベースにパスワードを保存する方法についての質問と誤解しています。それは間違いです。それはあなたが得ることができますパスワード保存方法についてですにデータベースを。

通常の解決策は、パスワードをソースコードから構成ファイルに移動することです。次に、管理とその構成ファイルの保護をシステム管理者に任せます。そうすれば、開発者は本番パスワードについて何も知る必要がなく、ソース管理にパスワードの記録がありません。

他の誰かのサーバーをホストしていて、webrootの外にアクセスできない場合は、いつでもパスワードやデータベース接続をファイルに入れ、.htaccessを使用してファイルをロックできます。

<files mypasswdfile>
order allow,deny
deny from all
</files>

最も安全な方法は、PHPコードで情報を指定しないことです。

Apacheを使用している場合は、httpd.confまたは仮想ホストファイルファイルに接続の詳細を設定することを意味します。その場合、パラメーターなしでmysql_connect（）を呼び出すことができます。これは、PHPが情報を出力することは決してないことを意味します。

これは、これらのファイルでこれらの値を指定する方法です。

php_value mysql.default.user      myusername
php_value mysql.default.password  mypassword
php_value mysql.default.host      server

次に、mysql接続を次のように開きます。

<?php
$db = mysqli_connect();

またはこのように：

<?php
$db = mysqli_connect(ini_get("mysql.default.user"),
                     ini_get("mysql.default.password"),
                     ini_get("mysql.default.host"));

それらをWebルート外のファイルに保存します。

非常に安全なシステムでは、データベースパスワードを構成ファイルで暗号化します（構成ファイル自体はシステム管理者によって保護されています）。アプリケーション/サーバーの起動時に、アプリケーションはシステム管理者に復号化キーを要求します。その後、データベースのパスワードが構成ファイルから読み取られ、復号化されて、将来使用するためにメモリに格納されます。復号化されたメモリに保存されるため、100％安全ではありませんが、ある時点で「十分に安全」と呼ぶ必要があります。

このソリューションは一般的であり、オープンソースアプリケーションとクローズドソースアプリケーションの両方に役立ちます。

1. アプリケーションのOSユーザーを作成します。http://en.wikipedia.org/wiki/Principle_of_least_privilegeを参照してください
2. パスワードを使用して、そのユーザーの（非セッション）OS環境変数を作成します
3. そのユーザーとしてアプリケーションを実行します

利点：

1. 誤ってソース管理にパスワードをチェックインすることはできません。
2. 誤ってファイルのアクセス許可を台無しにすることはありません。まあ、そうかもしれませんが、これは影響しません。
3. rootまたはそのユーザーのみが読み取ることができます。ルートはとにかくすべてのファイルと暗号化キーを読み取ることができます。
4. 暗号化を使用する場合、どのようにキーを安全に保存しますか？
5. X-プラットフォームで動作
6. envvarを信頼できない子プロセスに渡さないようにしてください

この方法は、非常に成功しているHerokuによって提案されています。

資格情報が格納されているのと同じファイルにデータベース接続を作成できる場合。接続ステートメントに資格情報をインライン化します。

mysql_connect("localhost", "me", "mypass");

それ以外の場合は、connectステートメントの後に資格情報を設定解除するのが最善です。メモリにない資格情報はメモリから読み取ることができないためです;）

include("/outside-webroot/db_settings.php");  
mysql_connect("localhost", $db_user, $db_pass);  
unset ($db_user, $db_pass);  

データベースにアクセスするためにパスワードが必要であると言うように、選択肢は制限されています。一般的なアプローチの1つは、ユーザー名とパスワードをメインスクリプトではなく、別の構成ファイルに保存することです。次に、それをメインのWebツリーの外に保存してください。これは、phpファイルが実行されるのではなく単にテキストとして表示されるWeb構成の問題がある場合に、パスワードを公開していないためです。

それ以外は、使用されているアカウントへの最小限のアクセス権で正しい方向に進んでいます。それに追加

• 他のものにユーザー名/パスワードの組み合わせを使用しないでください
• そのユーザーのWebホストからの接続のみを受け入れるようにデータベースサーバーを構成します（DBが同じマシン上にある場合はlocalhostの方が適しています）。これにより、資格情報が公開されている場合でも、他のアクセス権がない限り誰も使用できません。機械。
• パスワードを難読化すると（ROT13でも可能です）、一部のユーザーがファイルにアクセスしても防御力は高くありませんが、少なくともそれが偶然に表示されることはありません。

ピーター

PostgreSQLを使用している場合は、~/.pgpass自動的にパスワードが検索されます。詳細については、マニュアルを参照してください。

以前は、構成ファイルにDBユーザー/パスを格納していましたが、それ以降は偏執狂モードに陥っています-多層防御のポリシーを採用しています。

アプリケーションが侵害された場合、ユーザーは設定ファイルへの読み取りアクセス権を持つため、クラッカーがこの情報を読み取る可能性があります。設定ファイルは、バージョン管理に巻き込まれたり、サーバー間でコピーされたりする可能性もあります。

Apache VirtualHostで設定された環境変数にユーザー/パスを保存するように切り替えました。この設定はrootだけが読み取ることができます-うまくいけば、Apacheユーザーはrootとして実行されていません。

これとの欠点は、パスワードがグローバルPHP変数にあることです。

このリスクを軽減するために、次の予防策があります。

• パスワードは暗号化されています。PDOクラスを拡張して、パスワードを復号化するロジックを含めます。誰かが接続を確立する場所でコードを読んだ場合、接続がパスワード自体ではなく暗号化されたパスワードで確立されていることは明らかではありません。
• 暗号化されたパスワードは、グローバル変数からプライベート変数に移動されます。アプリケーションはこれをすぐに実行して、グローバルスペースで値を使用できるウィンドウを縮小します。
• phpinfo()無効になっています。PHPInfoは、環境変数を含むすべての概要を取得するための簡単なターゲットです。

データベースのパスワードをファイルに入れ、ファイルを提供するユーザーに対して読み取り専用にします。

PHPサーバープロセスにデータベースへのアクセスのみを許可する手段がない場合を除き、これでほぼすべてのことを実行できます。

ブラウザからのパスワードではなく、データベースのパスワードについて話している場合、標準的な方法は、データベースのパスワードをサーバー上のPHP構成ファイルに配置することです。

パスワードを含むphpファイルに適切な権限があることを確認する必要があるだけです。つまり、Webサーバーとユーザーアカウントのみが読み取り可能である必要があります。

どこかにそれを設定ファイルに入れるだけで、通常行われます。次のことを確認してください。

1. ネットワーク外のサーバーからのデータベースアクセスを禁止します。
2. ユーザーに誤ってパスワードを表示しないように注意してください（エラーメッセージで、またはPHPファイルが誤ってHTMLとして提供されているなど）。

このようにして解決しました：

1. サーバーでmemcacheを使用し、他のパスワードサーバーからの接続を開きます。
2. memcacheにパスワード（または暗号化されたすべてのpassword.phpファイル）と復号化キーを保存します。
3. Webサイトは、パスワードファイルパスフレーズを保持するmemcacheキーを呼び出し、メモリ内のすべてのパスワードを復号化します。
4. パスワードサーバーは、5分ごとに新しい暗号化パスワードファイルを送信します。
5. プロジェクトで暗号化されたpassword.phpを使用している場合は、監査を行い、このファイルが外部から変更されたか、または表示されたかどうかを確認します。これが発生した場合、メモリを自動的にクリーンアップし、アクセスのためにサーバーを閉じることができます。

追加のトリックは、次のようなPHPの別の構成ファイルを使用することです。

<?php exit() ?>

[...]

Plain text data including password

これにより、アクセスルールを正しく設定できます。ただし、Webサイトがハッキングされた場合、「require」または「include」は最初の行でスクリプトを終了するだけなので、データを取得するのはさらに困難です。

それでも、Web経由でアクセスできるディレクトリに設定ファイルを置かないでください。コントローラーコード、css、画像、jsを含む「Web」フォルダーが必要です。それで全部です。それ以外のものはオフラインフォルダに入ります。

最善の方法は、パスワードをまったく保存しないことです。
たとえば、WindowsシステムでSQL Serverに接続している場合、統合認証を使用すると、現在のプロセスのIDを使用して、パスワードなしでデータベースに接続できます。

パスワード、最初に接続する必要がある場合は暗号化して、（たとえば、AES-256を使用して、暗号化キーを保護する、または証明書を保護するOSを非対称暗号化を使用して持っている）強力な暗号化を使用して、その後、Aに保管し強力なACLを含む構成ファイル（Webディレクトリ外）。