我的应用程序是一个在线购买的网站。我(php服务器)将收集客户端的请求并将它们发送到处理网关。网关无法直接与客户端通信,并且需要我的身份验证详细信息才能与我进行通信。因为客户端需要在线时立即从网关获得响应,所以我必须将我的身份验证详细信息放在我的服务器端php脚本中。我知道这不安全。那我怎样才能让它安全?
谢谢!
答案 0 :(得分:1)
由于您的脚本必须能够获取支付网关的用户名/密码,无论您如何“安全地”存储它们,在某些时候它们将以原始未加密的形式公开,即使只是在内存中。
问题归结为您希望花费多少时间和精力来“保护”用户/通行证,以及在妥协之后清理多少费用。假设您花费2000美元的时间/精力保护您的网站。这个努力得到了回报。但是,在休息之后只会花费100美元的罚款,所以你的净亏损是1900美元。
答案 1 :(得分:0)
执行此操作的基本方法是将auth详细信息放入init.inc文件中,并将此文件放在Web根目录之外。所以你可能有
- \site_directory\
- \secure_include\
- init.inc
- \siteroot\
- \css\
- \includes\
- \images\
- login.php
这种方式至少如果apache + php解析器出现问题,纯文本文件将无法在Web浏览器中查看。