在 php 文件中存储密钥

Question

我在我的 php 应用程序中使用 Amazon Web 服务。将秘密 aws 访问令牌存储在链接到我的 php Web 服务的 config.php 文件中是否安全？

我无法下载该文件来查看内容，但是是否可以使用数据包嗅探器或其他东西来读取密钥和密码短语？

我知道 Amazon 建议使用令牌自动售货机来创建临时凭证，而不是直接使用 aws creds，但我们希望能够跳过实施这一过程。

Answer 1

就“下载 PHP 文件”而言，Apache 会阻止这种情况发生，但您绝对应该将 PHP 文件存储在文档根目录之外，这样它首先就无法被 Web 访问（并在服务器端（如果需要）。

就“数据包嗅探”而言，安全连接可以防止这种情况发生。只需确保您使用的是 HTTPS。

Answer 2

除非您的 config.php 文件在运行时输出令牌，否则您应该是安全的。为了采取额外的预防措施，您可以将 config.php 文件放在网站的根目录下，这样用户甚至无法尝试运行该文件。

您的 php 正在服务器上执行，只要没有将包含令牌的输出发送到客户端，该文件的内容就永远不会发送到客户端。因此，他们无法读取该文件，因为内容永远不会离开服务器，而只是运行脚本的输出。

Answer 3

不。这是不可能的，因为脚本在将内容传递到客户端之前仅在服务器端运行。

唯一可能的漏洞是有人侵入服务器本身并从文件系统中窃取了文件。

Answer 4

除了上述建议（将您的配置存储在网站的公共目录之外）之外，加密您的密码/秘密而不是将它们以纯文本形式存储在任何地方是一种很好的技术（特别是当使用非 php 文件来存储密码时，例如 < code>.env 或 *.yml 等）。通过错误配置网络服务器、提交到 Github 等，很容易暴露易受攻击的数据。

更多阅读：https://blog.fortrabbit.com/how-to-keep-a-secret