为什么数据库密码以纯文本形式存储在WordPress的wp-config.php中，安全问题？

2回答

尚方宝剑之说

如果您的用户可以阅读您的内容，wp-config.php那么从安全角度来看，您已经失败了。假设数据库凭据不是以纯文本形式存储的，而是作为加密字符串存储的，该字符串将由 Wordpress 本身解密。如果潜在的攻击者可以读取wp-config.php他们可能会读取解密密钥，并且没有理由怀疑它会更安全地存储。当人们谈论最新的安全机制如何使用仅与您是有效服务器时相关的散列和加盐时。散列是一种获取密码并将其转换为无法恢复为密码的东西的单向过程。如果您是客户端而不是服务器，则无法避免您需要一种获取纯文本密码的方法这一事实。

0

0

0

开心每一天1111

当我们说始终正确散列用户密码时，这意味着当您将它们存储在数据库中时。当您连接到数据库时，您需要提供密码（不是哈希），因此密码存储在此文件中。因为它是一个 PHP 文件，如果用户试图通过我们的服务器打开这个文件，它不会工作，因为它们只是 PHP 常量。它们不会打印到屏幕上。您可以通过使数据库服务器仅接受来自您的服务器（通常是本地主机）的连接来确定安全性。某些服务器设置在环境变量中设置数据库凭据。这不会使事情变得更安全，但它可以使您的 wp-config 文件保持干净

0

0

0