Câu trả lời ngắn gọn là Không và Phụ thuộc. Hầu như không bao giờ có ý tưởng tốt để lưu trữ mật khẩu ở dạng văn bản thuần túy, đặc biệt là ở một vị trí có thể truy cập web, nếu cho không có lý do khác ngoài cấu hình sai máy chủ đơn giản hoặc tiếng vọng ở sai địa điểm có thể phơi bày mật khẩu trên thế giới. Quay lại đầu trang
Nếu bạn PHẢI lưu trữ mật khẩu, (mà có thể) bạn có thể thử để lưu trữ nó bên ngoài webroot, ví dụ: /var/www/public_html/
Đặt codez của bạn ở đây
/var/www/includes/
Đặt mật khẩu của bạn ở đây
Thậm chí tốt hơn so với đó sẽ là để có hệ thống mà bạn cần mật khẩu (ví dụ: trình bao bọc cơ sở dữ liệu) trả về một đối tượng đã được khởi tạo. thay vì yêu cầu $databasepassword
bạn yêu cầu đối tượng PDO và lưu trữ các lớp cơ sở dữ liệu của bạn bên ngoài webroot.
Tùy thuộc vào các vectơ tấn công nào sẽ khiến ai đó có quyền truy cập vào văn bản mật khẩu đó và có thể yêu cầu chúng nằm trong hệ thống tệp của bạn, nếu có, bạn có thể bị lỗi.
Ngoài ra, nếu mật khẩu cho nội dung người đăng ký bảo mật của bạn, tất cả những gì bạn mất là một số phí đăng ký, nếu cơ sở dữ liệu của bạn, bạn có thể gặp sự cố, nếu đó là chi tiết ngân hàng trực tuyến của bạn cho bạn.
Mật khẩu đang bảo vệ giá trị như thế nào?
Sẽ không trong quá trình xác thực đến máy chủ cơ sở dữ liệu, mật khẩu trong bản rõ được gửi qua tcp/ip? –
Hầu hết lưu trữ được chia sẻ có cơ sở dữ liệu cục bộ chỉ chạy trên loopback, do đó, không thực sự là một vấn đề ở đó. Ngoài ra nếu bạn không ở trên lưu trữ được chia sẻ, có thể có ít vấn đề bảo mật hơn để lo lắng về việc truy cập lại hệ thống tập tin, v.v. – garrow
Mặc dù được khuyến nghị không sử dụng cùng một mật khẩu trên nhiều trang web, nhiều người vẫn sẽ làm điều đó. Nếu mật khẩu của người dùng của bạn được tiết lộ, bảo mật/quyền riêng tư của họ cũng có thể bị xâm phạm trong các ứng dụng khác. – felixbade