MySQL user:pass в roundcube php конфигурация
Это считают плохой практикой, чтобы иметь запрос MySQL с user:pass как простой текст?
Я делаю это прямо сейчас (в nginx/roundcube для изменения моих паролей голубятни), но это кажется странным, потому что, если у меня были другие пользователи системы на сервере, они могли бы перейти к конфигурации, считайте файл имени/передачи и удалите хэши пароля и/или добавьте их собственное.
Был бы предложенное исправление для простой установки каких-либо чувствительных файлов на 700 разрешений? Я не уверен, как гибкий, который был бы с некоторыми файлами на веб-сервере?
Если бы кто-то мог бы разрешить это для меня, который был бы великим :-)
Риск в некоторой степени зависит от того, как вы запускаете PHP, и от поддерживаемых в этом случае разрешений файловой системы.
Что касается пароля, представленного в виде открытого текста, насколько мне известно, пока нет способа избежать использования пароля в открытом виде.
Начиная с MySQL 5.6, у вас есть редактор конфигурации MySQl , который позволяет зашифровать учетные данные MySQL, чтобы они больше не сохранялись в виде открытого текста, но, насколько мне известно, типичные библиотеки PHP MySQL выиграли ' Я пока не использую это, и это скорее запутывание, чем настоящий необратимый хэш.