¿Cómo asegurar las contraseñas de la base de datos en PHP?

Cuando una aplicación PHP realiza una conexión de base de datos, por supuesto, generalmente necesita pasar un nombre de usuario y contraseña. Si estoy usando un inicio de sesión único con permiso mínimo para mi aplicación, entonces el PHP necesita saber ese inicio de sesión y contraseña en alguna parte. ¿Cuál es la mejor manera de asegurar esa contraseña? Parece que escribirlo en el código PHP no es una buena idea.

Varias personas interpretaron mal esto como una pregunta sobre cómo almacenar contraseñas en una base de datos. Eso está mal. Se trata de cómo almacenar la contraseña que le permite acceder a la base de datos.

La solución habitual es mover la contraseña del código fuente a un archivo de configuración. Luego, deje la administración y asegure ese archivo de configuración a los administradores de su sistema. De esta forma, los desarrolladores no necesitan saber nada sobre las contraseñas de producción, y no hay registro de la contraseña en su control de origen.

Si está alojado en el servidor de otra persona y no tiene acceso fuera de su raíz web, siempre puede poner su contraseña y / o conexión de base de datos en un archivo y luego bloquear el archivo usando un .htaccess:

<files mypasswdfile>
order allow,deny
deny from all
</files>

La forma más segura es no tener la información especificada en su código PHP.

Si está utilizando Apache, eso significa establecer los detalles de conexión en su httpd.conf o archivo de host virtual. Si lo hace, puede llamar a mysql_connect () sin parámetros, lo que significa que PHP nunca generará su información.

Así es como especifica estos valores en esos archivos:

php_value mysql.default.user      myusername
php_value mysql.default.password  mypassword
php_value mysql.default.host      server

Luego abres tu conexión mysql así:

<?php
$db = mysqli_connect();

O así:

<?php
$db = mysqli_connect(ini_get("mysql.default.user"),
                     ini_get("mysql.default.password"),
                     ini_get("mysql.default.host"));

Almacénelos en un archivo fuera de la raíz web.

Para sistemas extremadamente seguros, encriptamos la contraseña de la base de datos en un archivo de configuración (que a su vez está protegido por el administrador del sistema). Al iniciar la aplicación / servidor, la aplicación solicita al administrador del sistema la clave de descifrado. La contraseña de la base de datos se lee del archivo de configuración, se descifra y se almacena en la memoria para su uso futuro. Todavía no es 100% seguro ya que está almacenado en la memoria descifrada, ¡pero en algún momento debe llamarlo 'lo suficientemente seguro'!

Esta solución es general, ya que es útil para aplicaciones de código abierto y cerrado.

1. Cree un usuario del sistema operativo para su aplicación. Ver http://en.wikipedia.org/wiki/Principle_of_least_privilege
2. Cree una variable de entorno del sistema operativo (que no sea de sesión) para ese usuario, con la contraseña
3. Ejecute la aplicación como ese usuario

Ventajas:

1. No comprobará sus contraseñas en el control de origen por accidente, porque no puede
2. No arruinarás accidentalmente los permisos de archivo. Bueno, podrías, pero no afectará esto.
3. Solo puede leerlo el usuario root o ese usuario. Root puede leer todos sus archivos y claves de cifrado de todos modos.
4. Si usa cifrado, ¿cómo almacena la clave de forma segura?
5. Funciona x-plataforma
6. Asegúrese de no pasar el entorno a procesos secundarios no confiables

Heroku, que tiene mucho éxito, sugiere este método.

si es posible crear la conexión de la base de datos en el mismo archivo donde se almacenan las credenciales. Incluya las credenciales en la declaración de conexión.

mysql_connect("localhost", "me", "mypass");

De lo contrario, es mejor desarmar las credenciales después de la instrucción de conexión, porque las credenciales que no están en la memoria no se pueden leer desde la memoria ;)

include("/outside-webroot/db_settings.php");  
mysql_connect("localhost", $db_user, $db_pass);  
unset ($db_user, $db_pass);  

Sus opciones son un poco limitadas, ya que dice que necesita la contraseña para acceder a la base de datos. Un enfoque general es almacenar el nombre de usuario y la contraseña en un archivo de configuración separado en lugar del script principal. Luego, asegúrese de almacenarlo fuera del árbol web principal. Eso fue si hay un problema de configuración web que deja que sus archivos php simplemente se muestren como texto en lugar de ejecutarse, no ha expuesto la contraseña.

Aparte de eso, está en la línea correcta con un acceso mínimo para la cuenta que se está utilizando. Añadir a eso

• No use la combinación de nombre de usuario / contraseña para nada más
• Configure el servidor de la base de datos para que solo acepte conexiones del host web para ese usuario (localhost es aún mejor si el DB está en la misma máquina) De esa manera, incluso si las credenciales están expuestas, no serán de utilidad para nadie a menos que tengan otro acceso al máquina.
• Ofusque la contraseña (incluso ROT13 lo hará) no ofrecerá mucha defensa si algunos obtienen acceso al archivo, pero al menos evitará la visualización casual de él.

Peter

Si está utilizando PostgreSQL, busca las ~/.pgpasscontraseñas automáticamente. Vea el manual para más información.

Anteriormente almacenamos el usuario / pase de DB en un archivo de configuración, pero desde entonces hemos alcanzado el modo paranoico, adoptando una política de Defensa en profundidad .

Si su aplicación se ve comprometida, el usuario tendrá acceso de lectura a su archivo de configuración y, por lo tanto, existe la posibilidad de que un cracker lea esta información. Los archivos de configuración también pueden quedar atrapados en el control de versiones o copiarse en servidores.

Hemos pasado a almacenar las variables de entorno de usuario / pase establecidas en Apache VirtualHost. Esta configuración solo puede ser leída por el usuario root. Esperemos que su usuario de Apache no se ejecute como usuario root.

La desventaja con esto es que ahora la contraseña está en una variable PHP global.

Para mitigar este riesgo, tenemos las siguientes precauciones:

• La contraseña está encriptada.Extendemos la clase PDO para incluir lógica para descifrar la contraseña. Si alguien lee el código donde establecemos una conexión, no será obvio que la conexión se establece con una contraseña cifrada y no con la contraseña en sí.
• La contraseña cifrada se mueve de las variables globales a una variable privada. La aplicación hace esto inmediatamente para reducir la ventana de que el valor está disponible en el espacio global.
• phpinfo()está desactivado. PHPInfo es un objetivo fácil para obtener una visión general de todo, incluidas las variables de entorno.

Coloque la contraseña de la base de datos en un archivo, haga que sea de solo lectura para el usuario que sirve los archivos.

A menos que tenga algún medio para permitir que el proceso del servidor php acceda a la base de datos, esto es prácticamente todo lo que puede hacer.

Si habla de la contraseña de la base de datos, a diferencia de la contraseña que proviene de un navegador, la práctica estándar parece ser poner la contraseña de la base de datos en un archivo de configuración de PHP en el servidor.

Solo necesita asegurarse de que el archivo php que contiene la contraseña tenga los permisos adecuados. Es decir, debe ser legible solo por el servidor web y por su cuenta de usuario.

Simplemente ponerlo en un archivo de configuración en algún lugar es la forma en que generalmente se hace. Solo asegúrate de que:

1. no permitir el acceso a la base de datos desde cualquier servidor fuera de su red,
2. tenga cuidado de no mostrar accidentalmente la contraseña a los usuarios (en un mensaje de error o mediante archivos PHP que se sirven accidentalmente como HTML, etc.)

Lo hemos resuelto de esta manera:

1. Use memcache en el servidor, con conexión abierta desde otro servidor de contraseñas.
2. Guarde en la memoria caché la contraseña (o incluso todo el archivo password.php cifrado) más la clave de descifrado.
3. El sitio web llama a la clave memcache que contiene la frase de contraseña del archivo de contraseña y descifra en la memoria todas las contraseñas.
4. El servidor de contraseñas envía un nuevo archivo de contraseña cifrada cada 5 minutos.
5. Si usa password.php encriptado en su proyecto, realiza una auditoría, que verifica si este archivo se tocó externamente, o si se vio. Cuando esto sucede, puede limpiar automáticamente la memoria, así como cerrar el servidor para acceder.

Un truco adicional es usar un archivo de configuración de PHP separado que se vea así:

<?php exit() ?>

[...]

Plain text data including password

Esto no le impide establecer las reglas de acceso correctamente. Pero en el caso de que su sitio web sea pirateado, un "requerir" o un "incluir" simplemente saldrá del script en la primera línea, por lo que es aún más difícil obtener los datos.

Sin embargo, nunca permita que los archivos de configuración se encuentren en un directorio al que se pueda acceder a través de la web. Debe tener una carpeta "Web" que contenga su código de controlador, css, imágenes y js. Eso es todo. Todo lo demás va en carpetas sin conexión.

¡La mejor manera es no almacenar la contraseña en absoluto!
Por ejemplo, si está en un sistema Windows y se conecta a SQL Server, puede usar la autenticación integrada para conectarse a la base de datos sin una contraseña, utilizando la identidad del proceso actual.

Si necesita conectarse con una contraseña, primero encripte , usando un cifrado seguro (por ejemplo, usando AES-256, y luego proteja la clave de cifrado, o usando un cifrado asimétrico y haga que el sistema operativo proteja el certificado), y luego guárdelo en un archivo de configuración (fuera del directorio web) con ACL fuertes .