如何在php中隐藏/保护密码详细信息？答案

【问题标题】：How to hide/protect password details in php?如何在php中隐藏/保护密码详细信息？
【发布时间】：2013-06-05 22:02:08
【问题描述】：

我正在创建一个网站，我正在尝试创建一个表单，将用户输入发送到我的谷歌文档/驱动器中的谷歌电子表格......我找到了一个 Github 项目，可以让人们编写 php ...它包括脚本所需的其他 2 个 php 文件。代码如下：

我的问题是，如何在 $u = / $p = 下隐藏我的密码？任何查看代码的人都可以看到我的密码。我该如何防止这种情况发生？

脚本来源的链接是：http://www.farinspace.com/saving-form-data-to-google-spreadsheets/

<?php

// Zend library include path
set_include_path(get_include_path() . PATH_SEPARATOR . "$_SERVER[DOCUMENT_ROOT]/ZendGdata-1.8.1/library");

include_once("Google_Spreadsheet.php");

$u = "username@gmail.com";
$p = "password";

$ss = new Google_Spreadsheet($u,$p);
$ss->useSpreadsheet("My Spreadsheet");
$ss->useWorksheet("wks2");

// important:
// adding a leading alpha char prevents errors, there are issues 
// when trying to lookup an identifier in a column where the 
// value starts with both alpha and numeric characters, using a
// leading alpha character causes the column and its values to be 
// seen as a strictly a strings/text

$id = "z" . md5(microtime(true));

$row = array
(
    "id" => $id // used for later lookups
    , "name" => "John Doe"
    , "email" => "john@example.com"
    , "comments" => "Hello world"
);

if ($ss->addRow($row)) echo "Form data successfully stored";
else echo "Error, unable to store data";

$row = array
(
    "name" => "John Q Doe"
);

if ($ss->updateRow($row,"id=".$id)) echo "Form data successfully updated";
else echo "Error, unable to update spreadsheet data";

?>

【问题讨论】：

需要有一个用户可以访问您的文件。因此，您的密码将是可读的。不与任何人共享该用户或与任何人共享您的服务器怎么样？
为什么/如何有人会/可以阅读代码吗？如果它应该是安全的，请不要在代码中输入密码 - 就这么简单。
@BLaZuRE：访问用户是什么意思？电子表格将保存到“我的”谷歌文档帐户，所以帐户密码不应该是我自己的帐户密码吗？或者我也可以在谷歌文档上创建一个虚拟用户吗？喜欢雅虎邮件上的身份？

标签： php password-encryption

【解决方案1】：

您可以尝试使用下面的代码隐藏 if 以防被窥视。如果您尝试过，它仍然可以被发现，但至少它远离打开的文本视图。它所做的只是在文本中添加字符，然后在使用密码之前减去它们。

使用您的原始密码运行此脚本

<?php
$password = "test";

echo "Original Password In Plain Text = $password\n";
$len=strlen($password);

$NewPassword = "";
for( $i = 0; $i <= $len-1; $i++ ) {
$charcode = ord(substr( $password, $i, 1 ));
$NewChar = $charcode+5; $NewLetter = chr($NewChar);
$NewPassword = $NewPassword . $NewLetter;
} echo "Modified Password to Use in Script = $NewPassword\n";

$OrigPassword = "";
for( $i = 0; $i <= $len-1; $i++ ) {
$charcode = ord(substr( $NewPassword, $i, 1 ));
$OrigChar = $charcode-5; $OrigLetter = chr($OrigChar);
$OrigPassword = $OrigPassword . $OrigLetter;
} echo "Convert the Modified back to the Original = $OrigPassword\n";

?>

使用上述脚本中的新密码将此部分添加到您的脚本中

$password = "yjxy";
$OrigPassword = "";
for( $i = 0; $i <= $len-1; $i++ ) {
$charcode = ord(substr( $password, $i, 1 ));
$OrigChar = $charcode-5; $OrigLetter = chr($OrigChar);
$OrigPassword = $OrigPassword . $OrigLetter;
} $password = $OrigPassword;
echo "Script thinks this is the password = $password\n";

【讨论】：

谢谢！是否有任何 PHP 函数也可以将密码字符串编码为 md5 或 sha？我在网上某处读到 PHP 支持将字符串解密为这两种格式....
看起来他们在这里link 这样做了，但它对我不起作用，我的 php5-mcrypt 出于某种原因不喜欢我。他们在这里提供了修复它的提示link 这很有效，然后我运行了 md5 脚本，效果很好！
嗯，我在网上找到了一个网站，可以将字符串转换为 md5 并转换回字符串！这是link

【解决方案2】：

隐藏密码的最佳方法是将其保存在外部文件中，然后将其包含在您的 php 脚本中。假设您使用此密码的文件“config.php”应高于DOCUMENT_ROOT，以使其无法通过浏览器访问。这是常见的方法，例如，您可以在 Zend Framework 目录结构中看到它，其中只有“公共”目录对用户可见。该文件也应设置正确的 CHMOD。

在this link 下，您有 ZF 目录结构，您可以在其中检查配置文件的位置。

【讨论】：

所以我应该通过以下方式包含它：'include("config.php");'命令？如果是这样，“config.php”文件的代码是什么？？
just 当有人想从网络访问它时，他将看不见它。正如我所写，最好的解决方案是将此文件移至文档根目录上方。
好的！谢谢！我现在明白了.. 另外，通过文档根目录，您的意思是 '
检查我给你的目录结构。假设您的应用程序显示在/user/ 下，您的页面显示在/user/public/index.php 下 htaccess 可以访问 public/ 并为此目录绑定域，但配置位于 /user/config/config.php 中，因此用户无法通过浏览器访问，但您的脚本可以
好的。谢谢！这是有道理的，但我必须用 ZF 目录检查该页面链接......

【解决方案3】：

这个问题已经在这里被问过很多次（但不是专门针对 Google 文档）。简短的回答是您无能为力。

更长的答案是，您可以降低凭据被以下因素破坏的可能性：

使用提供给用户而不是存储在代码中的凭据
使用用户提供的令牌作为解密存储在您的代码中的凭据的一种方式（但对于很多用户来说，这会变得非常复杂）
将凭据存储在文档根目录之外的包含文件中

【讨论】：