Um arquivo PHP é seguro o suficiente em um servidor GoDaddy para codificar um sal AES no arquivo?

Question

Um arquivo PHP é seguro o suficiente em um servidor GoDaddy para codificar um sal AES no arquivo?

#1 resposta do (1 votos)
#2 resposta do (0 votos)

5

Por isso, estou criando uma API da web para um aplicativo que estou criando. Os dados são higienizados antes de serem enviados para minha API da web e, em seguida, criptografados antes de serem armazenados no meu servidor MySql.

O aplicativo do telefone higieniza as chamadas nos bastidores - > web php api que criptografa o estilo aes com um sal codificado e chama - > servidor

A minha pergunta é se eu codificar um valor de sal na página do php está em risco em um servidor go daddy?

Quero dizer, eu sei que NADA é realmente seguro, mas quais são as chances de que alguém seja capaz de hackear um servidor go daddy e ver meu código-fonte do php. Supondo que eles desmontem meu aplicativo e vejam a URL chamada para a API.

Como o código php é executado no servidor, estou assumindo que não há como extraí-lo?

api-design php security encryption web-services

por Anthony Russell 31.07.2013 / 05:24

fonte

2 respostas

0

Eu diria que é uma prática muito comum colocar constantes (senhas, sais, etc.) em arquivos php.

Como você pode armazenar seu sal mais? Em um banco de dados? Onde você coloca suas credenciais de banco de dados - novamente no código-fonte. Você também pode armazená-lo em um arquivo de inclusão (.inc) e usá-lo em seu código php. Não importa muito.

Falando em GoDaddy: Eu não tenho ideia se esse hoster é mais seguro que outro hoster, mas tecnicamente é tudo igual.

por 31.07.2013 / 12:09

fonte

Tags api-design php security encryption web-services

Como devo estruturar módulos em um aplicativo Angular.js? É uma boa prática para os aplicativos do Azure se autoadministrarem?

score 1 · Accepted Answer

Então, só queria dar continuidade a essa pergunta agora que sou um pouco mais experiente como engenheiro.

Um trabalho para isso que eu encontrei é colocar informações confidenciais, chaves de API, sais, etc, etc. em arquivos de configuração json que estão fora do escopo do servidor web. Eu costumo colocá-lo em /var/securelocation/websiteconfig.json . Então, quando escrevo um script php, carrego esse arquivo de configuração json em um objeto php e acesso as propriedades que preciso.

Esse método é bom porque não só reduz a chance de vazamento de informações confidenciais se houver um problema com o seu php ou servidor da Web, mas também facilita o upload de seu código para o GitHub sem precisar higienizá-lo. Apenas forneça um exemplo de arquivo json para o próximo usuário e pronto!