如何保护 app.php 加密密钥？ (Laravel 5)

Question

根据this，Laravel 支持数据的加密和解密。它运行良好且易于设置，但我的问题是它到底有多安全？

如果数据库中的加密字段被泄露，然后 app.php 文件也被泄露怎么办？然后他们将可以访问加密密钥。

我们是否可以通过编程方式保护加密密钥免受黑客攻击？

This answer 当然有帮助，但我想知道 Laravel 应用程序是否有特定的方法。赞赏！

Answer 1

Laravel 的加密性很强，它通过 MCrypt 使用AES 算法，这是一个众所周知的 PHP 扩展。

如果您的加密字段和您的加密密钥落入坏人之手，那么您几乎就完蛋了，对此无能为力。

幸运的是，有一些方法可以保护密钥。首先，您永远不要将您的密钥放入 app.php 文件中。 Laravel 5 让environments 的使用变得前所未有的简单。将您的密钥放入 .env 文件中，然后在您的 app.php 文件中引用它。

由于这些文件位于您在public 文件夹中运行的代码的范围之外，因此您可以开始了。如果不怀好意的人找到了将ssh 或FTP 进入您的服务器的方法，这种方法不会拯救您，但也不会拯救其他人。

我不知道您打算加密什么，但如果您正在考虑通过加密保护密码，请read on。