使用 Drupal 存储敏感数据

Question

我需要通过 Drupal 使用敏感数据来使用自定义模块。如果我只是通过 GUI 设置它们，它们将未加密地存储在数据库中。任何有权访问它的人都可以访问我的敏感数据。

目前我可以看到两种解决方案：

1. 找到一种方法将这些凭据安全地存储到数据库中；
2. 将这些敏感数据放入credentials_inc.php 文件中，将其包含在settings.php 中以设置我的自定义模块可以使用的变量，并确保其他人无法读取该文件。

您认为哪种解决方案最好？你有什么建议吗？还有其他最佳选择吗？

此致。

Answer 1

我将首先使用 SecurePages 模块，以确保沿途输入的数据不会被窥探。

然后，要加密信息，请尝试使用 php 的 mcrypt 并通过一个简短的示例说明如何< a href="http://www.php.net/manual/en/function.mcrypt-encrypt.php" rel="noreferrer">加密 和 解密。

一旦信息得到保护，将数据存储在 drupal 的数据库结构中应该没有问题。另外，重要的一点是，您可以查看 hook_init() 而不是尝试在 settings.php 中添加某些内容。这通常是一种不好的做法。

Answer 2

加密模块提供了一个API，支持几种不同的加密方法，包括mcrypt（如果您启用了它） 。

Answer 3

加密模块是在 Drupal 中加密敏感数据的绝佳方法。然而，该模块没有提供足够的密钥管理（它将加密密钥存储在 Drupal 数据库中 - 就像将您家的密钥存储在欢迎垫下一样）。

除了加密之外，您还需要一个额外的模块，例如 Townsend 安全密钥连接，它允许您在加密密钥管理器（HSM、云、VMware 等）中管理 Drupal 数据库外部的加密密钥。 ）。请记住 - 如果您没有正确管理加密密钥，那么您就没有正确加密您的数据。

全面披露：我在 Drupal 团队中与 Townsend Security 合作。