在我創建的模塊中,我需要安全地存儲一些敏感信息:遠程數據庫主機,用戶名和密碼。將敏感信息存儲在Drupal模塊中的位置?
似乎唯一可用的存儲是在Drupal數據庫中,這讓我感到擔憂,因爲這意味着如果Drupal受損,那麼這個其他數據庫也是如此。 sites/all/default
中的settings.php
文件是我的第二選項,但我無法寫入它。 FTP和SSH中的各種chmod
命令至777和666不會打開要寫入的文件。我也不確定我設置的變量在其他地方是否可用。
有沒有其他方法可以安全地存儲這些信息?
drupal保持settings.php文件的內容安全,並將其放在文檔根目錄之外有它自己的安全問題。 – mirzu 2011-01-21 18:03:56
@mirzu只要PHP不失敗,Drupal就會保持安全。包含敏感信息(如登錄名或密碼)的文件不應位於文檔根目錄中。特別是不適用於遠程服務器。至少如果MySQL實例是本地的,您可以將其設置爲只接受來自本地主機的傳入預測。 (我認爲這個建議不值得投票下來......) – Endophage 2011-01-21 18:26:36
如果即使沒有PHP文件權限設置正確,settings.php文件也不應該通過http訪問。如果用戶具有本地訪問權限,則將該文件從web-root移出是沒有好處的。允許遠程數據庫僅接受來自此服務器的連接是一個很好的安全措施,無論連接憑證如何存儲,都應該採取措施。 – mirzu 2011-01-21 19:00:06