[PHP-users 11880] Re: スクリプト中のパスワードの隠し方
Osamu Shigematsu
php-users@php.gr.jp
Thu, 28 Nov 2002 18:12:55 +0900
重松です。こんにちは。
> 私も試してみました。
> phpinfo() では見えなかったです。PHP 4.2.1 です。
試していただきまして、ありがとうございました。
いい加減なことを言うのもアレなので、ソースを読んで調べてみました。
> そういうことであれば、documentroot 以外の場所にパスワード
> を記述したファイルを置いて、include するのとセキュリティー
> 上はあまりかわらないように思うのですが如何でしょうか?。
確かに同意できますが、そのファイルの在処を管理するのがかったるいのです。
つまり、.htaccess ならば、可搬性が増すということです。
これは、PostgreSQL のほうも対応している必要があると思いますが、
平文でパスワードそのものを格納するのではなくて、
せめて、md5 値にして、それで PostgreSQL に接続できれば、
その個人がどういうルールでパスワードを生成しているのか、
そめて、それを隠すことができますね。
> それを実現するには、DSO 版をあきらめて、suEXEC で CGI 版を
> 動かして、UID の異なるプログラマーからは見えないようにする
> か、SAFE MODE の PHP 以外のプログラムを動作させないように
> するしかないでしょうか?。
私もこれは興味があります。
現実的な問題として、shell がつかえれば、PHP 以外のプログラムを
動かしてくれるな、といっても無理があると思いますから、
shell なし + cgi 不可 + safe_mode でしょうか?
> PHP + PostgreSQL が利用可能な、格安レンタルサーバーがあり
> ますが、あれは、どういう仕組みにしているのでしょうね?。
>
> 実験目的とか、善意の共同利用なら、パスワードが見えてしまって
> もいいけど、レンタルサーバーという以上は、他人との共同使用
> なので、DB のパスワードが見えてしまうというのは困ります。
私も興味があります。
--
Osamu Shigematsu <m5issige@mr.hitachi-medical.co.jp>