Bagaimana cara mengamankan kata sandi basis data dalam PHP?

Ketika aplikasi PHP membuat koneksi database itu tentu saja pada umumnya perlu melewati login dan kata sandi. Jika saya menggunakan satu, izin masuk minimum untuk aplikasi saya, maka PHP perlu mengetahui login dan kata sandi itu di suatu tempat. Apa cara terbaik untuk mengamankan kata sandi itu? Sepertinya hanya menulisnya dalam kode PHP bukan ide yang baik.

Beberapa orang salah membaca ini sebagai pertanyaan tentang cara menyimpan kata sandi dalam database. Itu salah. Ini tentang bagaimana cara menyimpan kata sandi yang memungkinkan Anda sampai ke basis data.

Solusi yang biasa adalah memindahkan kata sandi dari kode sumber ke file konfigurasi. Kemudian tinggalkan administrasi dan mengamankan file konfigurasi itu ke administrator sistem Anda. Dengan begitu pengembang tidak perlu tahu apa-apa tentang kata sandi produksi, dan tidak ada catatan kata sandi di kontrol-sumber Anda.

Jika Anda hosting di server orang lain dan tidak memiliki akses di luar webroot Anda, Anda selalu dapat memasukkan kata sandi dan / atau koneksi database dalam file dan kemudian mengunci file menggunakan .htaccess:

<files mypasswdfile>
order allow,deny
deny from all
</files>

Cara paling aman adalah tidak memiliki informasi yang ditentukan dalam kode PHP Anda sama sekali.

Jika Anda menggunakan Apache, itu berarti mengatur detail koneksi di file file httpd.conf atau host virtual Anda. Jika Anda melakukannya, Anda dapat memanggil mysql_connect () tanpa parameter, yang berarti PHP tidak akan pernah menampilkan informasi Anda.

Ini adalah bagaimana Anda menentukan nilai-nilai ini di file-file itu:

php_value mysql.default.user      myusername
php_value mysql.default.password  mypassword
php_value mysql.default.host      server

Kemudian Anda membuka koneksi mysql Anda seperti ini:

<?php
$db = mysqli_connect();

Atau seperti ini:

<?php
$db = mysqli_connect(ini_get("mysql.default.user"),
                     ini_get("mysql.default.password"),
                     ini_get("mysql.default.host"));

Simpan di file di luar root web.

Untuk sistem yang sangat aman kami mengenkripsi kata sandi basis data dalam file konfigurasi (yang dengan sendirinya diamankan oleh administrator sistem). Pada startup aplikasi / server aplikasi kemudian meminta administrator sistem untuk kunci dekripsi. Kata sandi basis data kemudian dibaca dari file konfigurasi, didekripsi, dan disimpan dalam memori untuk digunakan di masa mendatang. Masih tidak 100% aman karena disimpan dalam memori yang didekripsi, tetapi Anda harus menyebutnya 'cukup aman' di beberapa titik!

Solusi ini bersifat umum, karena berguna untuk aplikasi sumber terbuka dan tertutup.

1. Buat pengguna OS untuk aplikasi Anda. Lihat http://en.wikipedia.org/wiki/Principle_of_least_privilege
2. Buat variabel lingkungan OS (non-sesi) untuk pengguna itu, dengan kata sandi
3. Jalankan aplikasi sebagai pengguna itu

Keuntungan:

1. Anda tidak akan memeriksa kata sandi Anda menjadi kontrol sumber secara tidak sengaja, karena Anda tidak bisa
2. Anda tidak akan secara tidak sengaja mengacaukan izin file. Ya, Anda mungkin, tetapi itu tidak akan memengaruhi ini.
3. Hanya bisa dibaca oleh root atau pengguna itu. Root dapat membaca semua file dan kunci enkripsi Anda.
4. Jika Anda menggunakan enkripsi, bagaimana Anda menyimpan kunci dengan aman?
5. Bekerja x-platform
6. Pastikan untuk tidak mengirimkan envvar ke proses anak yang tidak dipercaya

Metode ini disarankan oleh Heroku, yang sangat sukses.

jika memungkinkan untuk membuat koneksi database di file yang sama di mana kredensial disimpan. Sebariskan kredensial di pernyataan hubungkan.

mysql_connect("localhost", "me", "mypass");

Jika tidak, sebaiknya hapus kredensial setelah pernyataan hubungkan, karena kredensial yang tidak ada dalam memori, tidak dapat dibaca dari memori ;)

include("/outside-webroot/db_settings.php");  
mysql_connect("localhost", $db_user, $db_pass);  
unset ($db_user, $db_pass);  

Pilihan Anda agak terbatas karena seperti yang Anda katakan Anda perlu kata sandi untuk mengakses database. Salah satu pendekatan umum adalah menyimpan nama pengguna dan kata sandi dalam file konfigurasi terpisah daripada skrip utama. Kemudian pastikan untuk menyimpannya di luar pohon web utama. Itu jika ada masalah konfigurasi web yang membuat file php Anda hanya ditampilkan sebagai teks daripada dieksekusi Anda belum membuka kata sandi.

Selain itu Anda berada di jalur yang benar dengan akses minimal untuk akun yang sedang digunakan. Tambahkan itu

• Jangan gunakan kombinasi nama pengguna / kata sandi untuk hal lain
• Konfigurasikan server basis data untuk hanya menerima koneksi dari host web untuk pengguna tersebut (localhost bahkan lebih baik jika DB berada di mesin yang sama) Dengan cara itu bahkan jika kredensial diekspos mereka tidak digunakan untuk siapa pun kecuali mereka memiliki akses lain ke mesin.
• Mengaburkan kata sandi (bahkan ROT13 akan melakukannya) itu tidak akan membuat banyak pertahanan jika beberapa tidak mendapatkan akses ke file, tetapi setidaknya itu akan mencegah tampilan biasa itu.

Peter

Jika Anda menggunakan PostgreSQL, maka ~/.pgpasskata sandi akan dicari secara otomatis. Lihat manual untuk informasi lebih lanjut.

Sebelumnya kami menyimpan pengguna DB / pass dalam file konfigurasi, tetapi sejak itu tekan mode paranoid - mengadopsi kebijakan Defense in Depth .

Jika aplikasi Anda dikompromikan, pengguna akan memiliki akses baca ke file konfigurasi Anda sehingga ada kemungkinan cracker membaca informasi ini. File konfigurasi juga dapat terperangkap dalam kontrol versi, atau disalin di sekitar server.

Kami telah beralih ke menyimpan variabel lingkungan pengguna / pass yang ditetapkan di Apache VirtualHost. Konfigurasi ini hanya dapat dibaca oleh root - semoga pengguna Apache Anda tidak berjalan sebagai root.

Yang salah dengan ini adalah bahwa sekarang kata sandi dalam variabel PHP Global.

Untuk mengurangi risiko ini, kami memiliki tindakan pencegahan berikut:

• Kata sandi dienkripsi. Kami memperluas kelas PDO untuk memasukkan logika untuk mendekripsi kata sandi. Jika seseorang membaca kode tempat kami membuat koneksi, tidak akan jelas bahwa koneksi dibuat dengan kata sandi terenkripsi dan bukan kata sandi itu sendiri.
• Kata sandi terenkripsi dipindahkan dari variabel global ke variabel pribadi . Aplikasi melakukan ini segera untuk mengurangi jendela bahwa nilai tersedia di ruang global.
• phpinfo()dinonaktifkan. PHPInfo adalah target yang mudah untuk mendapatkan gambaran umum tentang segala sesuatu, termasuk variabel lingkungan.

Masukkan kata sandi basis data ke dalam file, buat hanya-baca untuk pengguna yang melayani file.

Kecuali Anda memiliki beberapa cara yang hanya memungkinkan proses server php untuk mengakses database, ini cukup banyak yang dapat Anda lakukan.

Jika Anda berbicara tentang kata sandi basis data, dan bukan kata sandi yang berasal dari peramban, praktik standar tampaknya adalah memasukkan kata sandi basis data dalam file konfigurasi PHP di server.

Anda hanya perlu memastikan bahwa file php yang berisi kata sandi memiliki izin yang sesuai. Yaitu itu harus dapat dibaca hanya oleh server web dan oleh akun pengguna Anda.

Hanya memasukkannya ke file konfigurasi di suatu tempat adalah cara yang biasanya dilakukan. Pastikan Anda:

1. larang akses basis data dari server mana pun di luar jaringan Anda,
2. berhati-hatilah agar tidak secara tidak sengaja menunjukkan kata sandi kepada pengguna (dalam pesan kesalahan, atau melalui file PHP yang secara tidak sengaja disajikan sebagai HTML, dan sebagainya.)

Kami telah menyelesaikannya dengan cara ini:

1. Gunakan memcache di server, dengan koneksi terbuka dari server kata sandi lain.
2. Simpan untuk memcache kata sandi (atau bahkan semua file password.php terenkripsi) ditambah kunci dekripsi.
3. Situs web, memanggil kunci memcache yang memegang kata sandi file kata sandi dan mendekripsi dalam memori semua kata sandi.
4. Server kata sandi mengirim file kata sandi terenkripsi baru setiap 5 menit.
5. Jika Anda menggunakan password.php terenkripsi pada proyek Anda, Anda melakukan audit, yang memeriksa apakah file ini disentuh secara eksternal - atau dilihat. Ketika ini terjadi, Anda secara otomatis dapat membersihkan memori, serta menutup server untuk akses.

Trik tambahan adalah dengan menggunakan file konfigurasi PHP terpisah yang terlihat seperti itu:

<?php exit() ?>

[...]

Plain text data including password

Ini tidak mencegah Anda dari menetapkan aturan akses dengan benar. Tetapi dalam kasus situs web Anda diretas, "harus" atau "sertakan" hanya akan keluar dari skrip di baris pertama sehingga lebih sulit untuk mendapatkan data.

Meskipun demikian, jangan pernah membiarkan file konfigurasi dalam direktori yang dapat diakses melalui web. Anda harus memiliki folder "Web" yang berisi kode, css, gambar, dan js. Itu saja. Ada lagi yang masuk dalam folder offline.

Cara terbaik adalah tidak menyimpan kata sandi sama sekali!
Misalnya, jika Anda menggunakan sistem Windows, dan terhubung ke SQL Server, Anda dapat menggunakan Otentikasi Terintegrasi untuk terhubung ke database tanpa kata sandi, menggunakan identitas proses saat ini.

Jika Anda perlu terhubung dengan kata sandi, pertama-tama enkripsinya , menggunakan enkripsi yang kuat (mis. Menggunakan AES-256, dan kemudian lindungi kunci enkripsi, atau gunakan enkripsi asimetris dan mintalah OS melindungi sertifikat), dan kemudian simpan dalam file konfigurasi (di luar direktori web) dengan ACL yang kuat .