Como proteger senhas de banco de dados em PHP?

Quando um aplicativo PHP faz uma conexão com o banco de dados, é claro que geralmente precisa passar um login e senha. Se eu estiver usando um único login de permissão mínima para o meu aplicativo, o PHP precisará conhecer esse login e senha em algum lugar. Qual é a melhor maneira de proteger essa senha? Parece que apenas escrevê-lo no código PHP não é uma boa ideia.

Várias pessoas interpretaram isso incorretamente como uma pergunta sobre como armazenar senhas em um banco de dados. Isso esta errado. É sobre como armazenar a senha que lhe permite obter a base de dados.

A solução usual é mover a senha do código-fonte para um arquivo de configuração. Em seguida, deixe a administração e a proteção desse arquivo de configuração para os administradores do sistema. Dessa forma, os desenvolvedores não precisam saber nada sobre as senhas de produção e não há registro da senha no seu controle de origem.

Se você estiver hospedando no servidor de outra pessoa e não tiver acesso fora do seu webroot, sempre poderá colocar sua senha e / ou conexão com o banco de dados em um arquivo e bloqueá-lo usando um .htaccess:

<files mypasswdfile>
order allow,deny
deny from all
</files>

A maneira mais segura é não ter as informações especificadas no seu código PHP.

Se você estiver usando o Apache, significa definir os detalhes da conexão no arquivo httpd.conf ou no arquivo de hosts virtuais. Se você fizer isso, poderá chamar mysql_connect () sem parâmetros, o que significa que o PHP nunca exibirá suas informações.

É assim que você especifica esses valores nesses arquivos:

php_value mysql.default.user      myusername
php_value mysql.default.password  mypassword
php_value mysql.default.host      server

Então você abre sua conexão mysql assim:

<?php
$db = mysqli_connect();

Ou assim:

<?php
$db = mysqli_connect(ini_get("mysql.default.user"),
                     ini_get("mysql.default.password"),
                     ini_get("mysql.default.host"));

Armazene-os em um arquivo fora da raiz da web.

Para sistemas extremamente seguros, criptografamos a senha do banco de dados em um arquivo de configuração (que é protegido pelo administrador do sistema). Na inicialização do aplicativo / servidor, o aplicativo solicita ao administrador do sistema a chave de descriptografia. A senha do banco de dados é então lida no arquivo de configuração, descriptografada e armazenada na memória para uso futuro. Ainda não é 100% seguro, pois é armazenado na memória descriptografado, mas você precisa chamá-lo de 'seguro o suficiente' em algum momento!

Esta solução é geral, pois é útil para aplicativos de código aberto e fechado.

1. Crie um usuário do SO para seu aplicativo. Veja http://en.wikipedia.org/wiki/Principle_of_least_privilege
2. Crie uma variável de ambiente do SO (sem sessão) para esse usuário, com a senha
3. Execute o aplicativo como esse usuário

Vantagens:

1. Você não verificará suas senhas no controle de origem por acidente, porque não pode
2. Você não irá estragar acidentalmente as permissões de arquivo. Bem, você pode, mas isso não afetará isso.
3. Só pode ser lido pela raiz ou por esse usuário. O Root pode ler todos os seus arquivos e chaves de criptografia de qualquer maneira.
4. Se você usa criptografia, como está armazenando a chave com segurança?
5. Works x-platform
6. Certifique-se de não passar o envvar para processos filho não confiáveis

Este método é sugerido por Heroku, que é muito bem-sucedido.

se for possível criar a conexão com o banco de dados no mesmo arquivo em que as credenciais estão armazenadas. Inline as credenciais na instrução de conexão.

mysql_connect("localhost", "me", "mypass");

Caso contrário, é melhor desmarcar as credenciais após a instrução connect, porque as credenciais que não estão na memória não podem ser lidas na memória ;)

include("/outside-webroot/db_settings.php");  
mysql_connect("localhost", $db_user, $db_pass);  
unset ($db_user, $db_pass);  

Suas escolhas são meio limitadas, pois você diz que precisa da senha para acessar o banco de dados. Uma abordagem geral é armazenar o nome de usuário e a senha em um arquivo de configuração separado, em vez do script principal. Guarde isso fora da árvore principal da web. Ou seja, se houver um problema de configuração da web que deixe seus arquivos php simplesmente sendo exibidos como texto, em vez de serem executados, você não expôs a senha.

Fora isso, você está nas linhas corretas com acesso mínimo para a conta que está sendo usada. Adicione a isso

• Não use a combinação de nome de usuário / senha para mais nada
• Configure o servidor de banco de dados para aceitar apenas conexões do host da Web para esse usuário (o host local é ainda melhor se o banco de dados estiver na mesma máquina) Dessa forma, mesmo que as credenciais estejam expostas, elas não serão úteis a ninguém, a menos que tenham outro acesso ao servidor. máquina.
• Oculte a senha (até o ROT13 o fará), pois não haverá muita defesa se alguns tiverem acesso ao arquivo, mas pelo menos impedirá a visualização casual.

Pedro

Se você estiver usando o PostgreSQL, ele procurará ~/.pgpasssenhas automaticamente. Veja o manual para mais informações.

Anteriormente, armazenávamos usuário / senha do banco de dados em um arquivo de configuração, mas desde então atingimos o modo paranóico - adotando uma política de Defesa em Profundidade .

Se seu aplicativo estiver comprometido, o usuário terá acesso de leitura ao seu arquivo de configuração e, portanto, é possível que um cracker leia essas informações. Os arquivos de configuração também podem ser apanhados no controle de versão ou copiados nos servidores.

Mudamos para o armazenamento de usuário / senha nas variáveis ​​de ambiente definidas no Apache VirtualHost. Essa configuração é legível apenas pelo root - espero que seu usuário do Apache não esteja executando como root.

O problema disso é que agora a senha está em uma variável PHP global.

Para mitigar esse risco, temos as seguintes precauções:

• A senha está criptografada. Estendemos a classe PDO para incluir lógica para descriptografar a senha. Se alguém ler o código onde estabelecemos uma conexão, não será óbvio que a conexão está sendo estabelecida com uma senha criptografada e não com a própria senha.
• A senha criptografada é movida das variáveis ​​globais para uma variável privada. O aplicativo faz isso imediatamente para reduzir a janela em que o valor está disponível no espaço global.
• phpinfo()está desabilitado. PHPInfo é um alvo fácil para obter uma visão geral de tudo, incluindo variáveis ​​de ambiente.

Coloque a senha do banco de dados em um arquivo e torne-o somente leitura para o usuário que está servindo os arquivos.

A menos que você tenha algum meio de permitir apenas que o processo do servidor php acesse o banco de dados, isso é tudo que você pode fazer.

Se você está falando sobre a senha do banco de dados, ao contrário da senha proveniente de um navegador, a prática padrão parece ser colocar a senha do banco de dados em um arquivo de configuração PHP no servidor.

Você só precisa ter certeza de que o arquivo php que contém a senha possui permissões apropriadas. Ou seja, deve ser legível apenas pelo servidor web e por sua conta de usuário.

Colocá-lo em um arquivo de configuração em algum lugar é como costuma ser feito. Apenas certifique-se de:

1. proibir o acesso ao banco de dados de qualquer servidor fora da sua rede,
2. tome cuidado para não mostrar a senha acidentalmente aos usuários (em uma mensagem de erro ou através de arquivos PHP serem servidos acidentalmente como HTML, etc.)

Nós resolvemos desta maneira:

1. Use o memcache no servidor, com conexão aberta de outro servidor de senhas.
2. Salve no memcache a senha (ou mesmo todo o arquivo password.php criptografado) mais a chave de descriptografia.
3. O site chama a tecla memcache que contém a senha do arquivo de senhas e descriptografa na memória todas as senhas.
4. O servidor de senhas envia um novo arquivo de senhas criptografadas a cada 5 minutos.
5. Se você estiver usando o password.php criptografado em seu projeto, faça uma auditoria para verificar se esse arquivo foi tocado externamente - ou visualizado. Quando isso acontece, você pode limpar automaticamente a memória e fechar o servidor para acesso.

Um truque adicional é usar um arquivo de configuração separado do PHP que se parece com isso:

<?php exit() ?>

[...]

Plain text data including password

Isso não impede que você defina as regras de acesso corretamente. Porém, no caso de seu site ser hackeado, um "require" ou um "include" sairá do script apenas na primeira linha, tornando ainda mais difícil obter os dados.

No entanto, nunca deixe os arquivos de configuração em um diretório que possa ser acessado através da web. Você deve ter uma pasta "Web" contendo seu código de controle, css, fotos e js. Isso é tudo. Qualquer outra coisa entra em pastas offline.

A melhor maneira é não armazenar a senha!
Por exemplo, se você estiver em um sistema Windows e se conectar ao SQL Server, poderá usar a Autenticação Integrada para se conectar ao banco de dados sem uma senha, usando a identidade do processo atual.

Se você precisar se conectar com uma senha, primeiro criptografe -a, usando criptografia forte (por exemplo, usando AES-256 e, em seguida, proteja a chave de criptografia, ou usando criptografia assimétrica e que o sistema operacional proteja o certificado) e, em seguida, armazene-a em um arquivo de configuração (fora do diretório da web) com ACLs fortes .