[PHP-users 11880] Re: スクリプト中のパスワードの隠し方

Osamu Shigematsu php-users@php.gr.jp
Thu, 28 Nov 2002 18:12:55 +0900


重松です。こんにちは。

> 私も試してみました。
> phpinfo() では見えなかったです。PHP 4.2.1 です。

試していただきまして、ありがとうございました。
いい加減なことを言うのもアレなので、ソースを読んで調べてみました。

> そういうことであれば、documentroot 以外の場所にパスワード
> を記述したファイルを置いて、include するのとセキュリティー
> 上はあまりかわらないように思うのですが如何でしょうか?。

確かに同意できますが、そのファイルの在処を管理するのがかったるいのです。
つまり、.htaccess ならば、可搬性が増すということです。

これは、PostgreSQL のほうも対応している必要があると思いますが、
平文でパスワードそのものを格納するのではなくて、
せめて、md5 値にして、それで PostgreSQL に接続できれば、
その個人がどういうルールでパスワードを生成しているのか、
そめて、それを隠すことができますね。

> それを実現するには、DSO 版をあきらめて、suEXEC で CGI 版を
> 動かして、UID の異なるプログラマーからは見えないようにする
> か、SAFE MODE の PHP 以外のプログラムを動作させないように
> するしかないでしょうか?。

私もこれは興味があります。

現実的な問題として、shell がつかえれば、PHP 以外のプログラムを
動かしてくれるな、といっても無理があると思いますから、
shell なし + cgi 不可 + safe_mode でしょうか?

> PHP + PostgreSQL が利用可能な、格安レンタルサーバーがあり
> ますが、あれは、どういう仕組みにしているのでしょうね?。
> 
> 実験目的とか、善意の共同利用なら、パスワードが見えてしまって
> もいいけど、レンタルサーバーという以上は、他人との共同使用
> なので、DB のパスワードが見えてしまうというのは困ります。

私も興味があります。

-- 
Osamu Shigematsu <m5issige@mr.hitachi-medical.co.jp>