[PHP-users 2668] Re: PostgreSQLのパスワードに関して

[f.t.]

fujiyamaです。

On Fri, 12 Oct 2001 21:10:00 +0900
TATSUYA <tatsuya@ps.sakura.ne.jp> wrote:

> 今回、PHP4.0.6+Jstring1.1.1+PostgreSQL7.1.3でデータベースを使おうと思っています。
<cut>
> うちのサーバは、友人数人にWebスペースを貸しており、今回データベースを
> 使えるようにしてから、ユーザもデータベースを使いたいという声がありました。
> 
> 僕がデータベースを使う理由はユーザのデータを管理したりアナウンスなどを
> PHPから送信するつもりで今回導入しました。
> 
> 当初は僕だけが使うつもりで居たので、ユーザ名のみ指定する形と
> していたのですが、今回他のユーザも使用するため、パスワードを設定しました。
> 
> しかし、ちょっと考えてみると、PHPは所有者の権限で
> 動かすこと(CGIのSuExecのようなこと)ができないので、

CGI版のPHPを使えば何とか可能かと。

> SSHなどでログインしてファイルを開かれると、パスワードが
> みられてしまうのでは？と思いました。

PHPソースに
pg_Connect ("host=sheep port=5432 dbname=mary user=lamb password=baaaa");
のようにユーザー名とパスワードを書いているので、そのPHPソースをホストに
ログインしてきた人に見られたら困る
・・・という意味に理解しました。
（違ってたらごめんなさい）

とりあえず思いつくのは、
ユーザー名とパスワードをWeb上で都度入力するようにすること。毎回入力が面
倒ならセッションかなんかを使って使いまわすとか。

あとはPHPユーザーのPostgreSQLにおける権限は弱くしておいて、更新とかはで
きないようにしておくとか。

けど、
> また、その後考えたのですが、ユーザ名がわかれば
> データベースにアクセスすることが可能になるということです。。
> 
> このような問題を解決するためにはPHP内で、
> 暗号化したパスワードなどを使用するしかないのでしょうか？

とかを読んでると的外れなこと答えてるかもしれない(~~;


いつもご迷惑かけます。 
f.t. <fujiyama@pc.mycom.co.jp>