生产环境下的数据库帐号密码需要独立吗？也是直接记录在代码中？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 4112 天前的主题，其中的信息可能已经有所发展或是发生改变。

9 条回复 • 1970-01-01 08:00:00 +08:00

princeofwales

2013-08-15 21:37:13 +08:00

应用代码里配置数据库连接的时候，不是要写上帐号和密码吗？

shiny

2013-08-15 21:46:57 +08:00

写在环境变量里吧

shenyuanv

2013-08-15 21:50:16 +08:00

数据库密码采用AES加密，秘钥分两部分储存

vking

2013-08-15 22:52:28 +08:00 via Android

到现在也没有弄明白为什么数据库账号密码要明文，网站被黑也就算了，连库都要被脱。

ETiV

2013-08-16 01:41:16 +08:00 via iPhone

@vking

把自家钥匙磨成别的样子，然后说“即便这钥匙丢了，我也不怕家里东西被偷”

vking

2013-08-16 08:47:54 +08:00 via Android

@ETiV 但是按照你这样自己的数据库还怎么调用？

ksc010

2013-08-16 09:25:53 +08:00

不管怎么弄只要程序能操作数据库
密码再怎么加密也白搭

rrfeng

2013-08-16 11:04:03 +08:00

@ksc010
对的。程序能操作数据库，必然有钥匙。控制了程序或者拥有了和程序同样的权限，就够了。

xingzhi

2013-08-16 17:09:58 +08:00

@shiny 写环境变量里看代码就知道了，再读一次而已。

@rrfeng
@ksc010 有理。

我好奇的是，一些大型网站通常是怎么解决这个问题呢？网站代码怎么连接的数据库呢。