-1
我的系統沒有使用mySQL或者smth。只是文件。我有.htaccess的特殊文件夾(全部拒絕)。我在哪裏存儲我的設置,管理員的密碼(md5)等等。但是如果黑客獲得對此文件夾的訪問權限,則可以輕鬆讀取XML文件。在non-db CMS中保護settings.xml
因此我的問題: 1)是否有deny from all .htaccess文件提供足夠的保護? 2)有沒有內置的PHP函數來加密文件?
A
回答
0
.htaccess不足以保護文件,將本地數據放在http訪問之外,一般位於HTML目錄之上的目錄中。
在PHP中有加密可用,但它只是將問題轉移到保護密鑰,儘管它增加了工作因子,基本上是安全性。
如果您選擇使用加密,請不要使用mcrypt,這是棄用軟件,不支持標準填充。請使用庫,如RNCryptor-php或defuse,它提供了一個完整的加密解決方案。
注意:有些人遇到安全問題時,認爲 「我知道,我會使用加密。」現在他們有兩個問題。
相關問題
- 1. 如何保護和加密maven中的settings.xml paswords文件?
- 2. Maven的:在settings.xml中
- 3. 我如何密碼保護精煉廠cms中的頁面?
- 4. 保護每個內容項目在果園CMS
- 5. 在Excel中保護
- 6. Maven - <server/>在settings.xml中
- 7. 在Android Studio中配置settings.xml
- 8. 在防護欄中的DOS保護
- 9. 保護在PHP
- 10. 我應該使用SSL來保護CMS後端嗎?
- 11. N2 CMS - 受保護的上傳子目錄?
- 12. 在android中保護視頻
- 13. 在生產中保護django
- 14. 在android中保護變量
- 15. 在Android中保護密鑰
- 16. 保護中心app.config
- 17. ClosedXML在保護片
- 18. .m2,Ubuntu中的settings.xml文件
- 19. 秩序的settings.xml
- 20. Maven settings.xml文件
- 21. tomcat 7的settings.xml在哪裏?
- 22. 保護數據保護密碼
- 23. Maven:在pom.xml中設置settings.xml位置?
- 24. 保護與保護者的關聯
- 25. IDataProtector保護和取消保護方法
- 26. 保護/取消保護圖表
- 27. 保護/取消保護Word文檔
- 28. 保護節點+ Postgres +護照
- 29. Rails 3中,如何保護和保護控制器和URL
- 30. 保護Symfony2中的目錄
我建議在文檔根目錄之外存儲敏感信息 – RamRaider
問題是爲什麼你的內部文件存儲在你的http服務器明顯發佈的位置。當然,如果存儲在文件系統中的某個位置,那麼http請求_at all_無法訪問它們,因此_outside_您的文檔根目錄將會更好地保護它們。 – arkascha
關於加密:這裏沒有明確的說法,但這種方法本身是有問題的:它是試圖治癒症狀而不是原因。 – arkascha