[PHP-users 11893] Re: スクリプト中のパスワードの隠し方

[Osamu Shigematsu]

重松です。こんにちは。

> どうせ PHP のクラスライブラリなどは、DocumentRoot　以外
> の場所に置くのだから手間かえってかからないように思います
> が、この辺は人それぞれかな。

たとえば、テスト環境と、本番環境があるとして、
テスト環境は共用の計算機で、$HOME/public_html 以下において開発し、
本番環境は特定のディレクトリ以下で tar jxvf で展開しただけで、
何もしなくても動くようにしたい、ということです。

以前、PHP3 と PHP4 を共存させる必要があり、いちいち、httpd.conf を
書き換えて回ったりするのがかったるかったので、.htaccess で
いろいろ設定するようにしたのですが、個人的には、便利に感じています。

> スイマセン。意味がよくわからないのですが。
> 人が記憶により手で入力するパスワードではなく、スクリプト
> 等に記述するパスワードは、パスワード推測ツールなどで容易
> に推定されないようなランダムな文字列にしますね。それを
> さらに md5 して何か意味があるのかと。

理想を言えばそうですが、何らかの理由 (含む怠慢) で、
それほど強固ではないような、パスワードとか、
使いまわしのパスワードを使うことが、ままある得ると思います。

なので、パスワードそのものを記述しなくてすむなら、
それに越したことがない、と思いますが、いかがでしょうか。

> 可能ならば、PHP の /ext/pgsql/pgsql.c あたりのソースコード
> に手を入れて、暗号化したパスワードを渡せないかと。
> # 勿論、PostgreSQL のソースコードを改良した方がいいのですが、
> # 難しすぎて私の手には負えない。誰かやってくれないかな(^_^;;

月末+週末なので、今日読めるかわかりませんし、読んでもわかるかどうか
別の次元の問題ですが、目を通しておこうと思います。

-- 
Osamu Shigematsu <m5issige@mr.hitachi-medical.co.jp>