安全PHP文件

Question

我有一個PHP文件，我基本上給我的密碼給我所有的用戶。我想成爲唯一一個能夠查看內容並查看頁面的人。最好的辦法是做什麼？

密碼保護？需要一個特殊的cookie，只有我有？

給我一些想法..

Answer 1

如果你想能夠看到，如果通過瀏覽器，請嘗試以下：

查找到WWW基本身份驗證，這將主要有瀏覽器提示您用戶名和密碼。

http://www.htaccesstools.com/htaccess-authentication/
http://eregie.premier-ministre.gouv.fr/manual/howto/auth.html

如果你有一個靜態IP地址，你可以確保只有您的IP地址可以看到頁面：

if($_SERVER['REMOTE_ADDR'] != '192.168.1.1') 
{ 
     die(); 
} 

---

如果不設被瀏覽器看到，最好的解決方案是將文件放在DocumentRoot上面。又名：

如果你的index.php文件是/路徑/要/根/的public_html放在/路徑文件/要/根

Answer 2

我建議你停止存儲密碼和改爲存儲密碼的散列。即使你不應該知道用戶的密碼。

你正在做什麼甚至沒有認證或授權。充其量是鑑定。如果你這麼做的話，Chacha102說了些什麼，再加上你還想要chgrp和chmod，這樣只有互聯網用戶和你的用戶才能看到它。

Answer 3

如果你存儲在一個wwwroot下的一個位置的所有數據，那麼你就有可能在文件的下載，無論是通過安全漏洞的錯誤的配置。此解決方案還可能包含用戶和密碼的硬編碼，這使得密碼輪轉更加困難。如果用戶可以更改文件中的值，那麼必須非常小心，他們不能將PHP代碼注入密碼文件，否則他們將能夠接管您的應用程序。而管理員查看明文密碼的能力被認爲是不好的做法，應該避免。

現代最好的做法是不是這樣做的，如果在所有可能的。將數據存儲在Web服務器通常不允許直接下載的位置（例如wwwroot之外或您已經防止SQL注入問題的數據庫中），實施身份驗證和授權方案，並依賴該方案控制誰可以做什麼。

退房www.owasp.org，以獲得更多的細節 - 這是一個很好的起點。

Answer 4

不要存儲用戶密碼以明文在數據庫中哈希他們。

因爲我假設你需要爲用戶登錄的功能，我建議創建一個腳本，它可以讓管理員帳戶（您可以識別不過你想要的）任何用戶登錄。