對於與其他人共享的git存儲庫,在settings.py
文件中是否存在暴露數據庫密碼的漏洞? (我最初的想法是否定的,因爲你仍然需要ssh密碼。)在django中暴露密碼
1
A
回答
3
這取決於誰有讀取存儲庫的權限,但通常不要將密碼放入版本控制中。它可能更好地把它放在一個單獨的文件中像password.py
只與密碼,就像這樣:
password = 'asdasd'
和import
或execfile
這在settings.py
。然後,您可以將password.py
添加到您的.gitignore
。
2
假設您的數據庫只能從一臺特定的主機訪問,即使如此,您爲什麼要給潛在的攻擊者提供另一條信息?假設你將它部署到共享主機上,並且我有一個帳戶,那麼只需登錄到我的帳戶就可以連接到你的數據庫。另外,根據你是誰寫這個和他們需要經歷什麼樣的審計(PCI,州審計等),這可能是不允許的。
我會嘗試找到一種方法來檢查密碼。
相關問題
- 1. 加密暴露在比薩嗎?
- 2. Foursquare的API祕密暴露在javascript
- 3. 暴露在Drupal
- 4. 暴露在Drupal
- 5. 即成文件,而不暴露在Django
- 6. 使用密碼取消保護工作表,而不暴露宏中的密碼
- 7. 如何防止在使用RGoogleDocs時暴露我的密碼?
- 8. java屬性 - 暴露還是不暴露?
- 9. 在包中暴露函數
- 10. 在TomCat中暴露Neo4J REST
- 11. 在webpack中暴露UIkit
- 12. 在QBVideoChat中暴露AVAudioSession
- 13. 將django admin暴露給用戶。有害?
- 14. 暴露碼頭集裝箱碼頭
- 15. 在不暴露明文的情況下更改加密密鑰
- 16. UPS包裹跟蹤API - 如何不暴露密碼?
- 17. 請求對象暴露密碼檢查變量
- 18. 在openssl lib的日誌中暴露Diffie Hellman共享密鑰
- 19. 在django中暴露多個數據庫admin
- 20. wmi密碼泄露
- 21. Python暴露在範圍內
- 22. 在Mule上暴露WebService
- 23. 暴露比3000 Express和碼頭工人
- 24. 由AWS Elastic暴露的源代碼Beanstalk
- 25. WCF暴露爲RESTful
- 26. WebClient不暴露downloadFile()
- 27. 暴露VisualOffsets屬性
- 28. 暴露net.tcp端點
- 29. 暴露一個TStringList
- 30. AWS SES - 連接到boto集而不暴露代碼中的訪問密鑰