大家 web 开发时，是怎么样保障正式数据库的账号安全的？

大家开发程序时，程序连接数据库一般怎么保存账号和密码的？

1. 写死在程序里（应该除了大学实习外没人这么干了）
2. 写在配置文件里——明文（很多人都这么用）
3. 写在配置文件里——加密（很多人都这么用）
4. 其他

我感觉 2，3 也都不是很安全啊，大家有什么办法？

offswitch

2021-03-30 02:35:27 +08:00

配置文件明文就可以了，限制数据库连接 ip，其余毫无意义。

singerll

2021-03-30 07:11:23 +08:00

sql 注入拖库根本不需要账号密码。。

code2019

2021-03-30 07:45:28 +08:00

k8s configmap 或者 Apollo 了解下

chenshun00

2021-03-30 08:59:08 +08:00

给一个坐标，运行获取密码

hq136234303

2021-03-30 09:51:49 +08:00

@3dwelcome 没用的你数据加密的方法还是在代码里面的所以没鸡儿用

q149072205

2021-03-30 10:06:48 +08:00

肯定放在配置文件里啊，如果真有高手能看到你的配置文件，肯定早就攻破系统了。

tairan2006

2021-03-30 11:01:34 +08:00

用 2 就行，用 3 的一般是企业合规需求

zlowly

2021-03-30 13:08:35 +08:00

看到这里这么多评论里有这样的好笑的论点：水桶无论有多高，它盛水的高度取决于其中最低的那块木板，所以咱负责的这块木板做成啥样也没用。

hoyixi

2021-03-30 21:09:01 +08:00

真流程规范的公司，开发人员是无法操作正式数据库环境和正式数据的，那是专门的 DBA 的权限。
开发人员只能用开发环境和测试环境的数据库及“假”数据。

QAQ73

2021-03-31 10:25:58 +08:00

配置文件直接放到服务器中，代码只放测试环境的

s0nnse

2021-03-31 11:54:17 +08:00

放在配置文件中就可以了，如果要关注服务器的安全问题，更多的需要关注代码逻辑、基线配置的问题。过于看重配置文件的问题，反而是捡芝麻，丢西瓜。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.