Как скрыть/защитить данные паролей в php?

Question

Я создаю сайт, на котором я пытаюсь создать форму, которая будет отправлять пользовательский ввод в электронную таблицу google в моем документе/диске Google. Я нашел проект Github, который позволяет людям кодировать php. .. Он включает в себя 2 других php-файла, которые необходимы для скрипта. Код выглядит следующим образом:

Мой вопрос в том, как я могу скрыть свой пароль из этого скрипта под $ u =/$ p = ?? Любой, кто просматривает этот код, может видеть мой пароль .. как я могу это предотвратить?

Ссылка на источник сценария является: http://www.farinspace.com/saving-form-data-to-google-spreadsheets/

<?php 

// Zend library include path 
set_include_path(get_include_path() . PATH_SEPARATOR . "$_SERVER[DOCUMENT_ROOT]/ZendGdata-1.8.1/library"); 

include_once("Google_Spreadsheet.php"); 

$u = "username@gmail.com"; 
$p = "password"; 

$ss = new Google_Spreadsheet($u,$p); 
$ss->useSpreadsheet("My Spreadsheet"); 
$ss->useWorksheet("wks2"); 

// important: 
// adding a leading alpha char prevents errors, there are issues 
// when trying to lookup an identifier in a column where the 
// value starts with both alpha and numeric characters, using a 
// leading alpha character causes the column and its values to be 
// seen as a strictly a strings/text 

$id = "z" . md5(microtime(true)); 

$row = array 
(
    "id" => $id // used for later lookups 
    , "name" => "John Doe" 
    , "email" => "john@example.com" 
    , "comments" => "Hello world" 
); 

if ($ss->addRow($row)) echo "Form data successfully stored"; 
else echo "Error, unable to store data"; 

$row = array 
(
    "name" => "John Q Doe" 
); 

if ($ss->updateRow($row,"id=".$id)) echo "Form data successfully updated"; 
else echo "Error, unable to update spreadsheet data"; 

?> 

Answer 1

Вы можете попытаться скрыть, если смотреть в глаза, используя код, указанный ниже. Это было бы доступно, если бы вы попытались, но, по крайней мере, это далеко от открытого текстового представления. Все, что он делает, это добавить символы в текст, а затем вычесть их перед использованием пароля.

Выполнить этот скрипт, используя свой оригинальный пароль

<?php 
 
$password = "test"; 
 

 
echo "Original Password In Plain Text = $password\n"; 
 
$len=strlen($password); 
 

 
$NewPassword = ""; 
 
for($i = 0; $i <= $len-1; $i++) { 
 
$charcode = ord(substr($password, $i, 1)); 
 
$NewChar = $charcode+5; $NewLetter = chr($NewChar); 
 
$NewPassword = $NewPassword . $NewLetter; 
 
} echo "Modified Password to Use in Script = $NewPassword\n"; 
 

 
$OrigPassword = ""; 
 
for($i = 0; $i <= $len-1; $i++) { 
 
$charcode = ord(substr($NewPassword, $i, 1)); 
 
$OrigChar = $charcode-5; $OrigLetter = chr($OrigChar); 
 
$OrigPassword = $OrigPassword . $OrigLetter; 
 
} echo "Convert the Modified back to the Original = $OrigPassword\n"; 
 

 
?>

Добавить эту часть вашего сценария с новым паролем из приведенного выше сценария

$password = "yjxy"; 
 
$OrigPassword = ""; 
 
for($i = 0; $i <= $len-1; $i++) { 
 
$charcode = ord(substr($password, $i, 1)); 
 
$OrigChar = $charcode-5; $OrigLetter = chr($OrigChar); 
 
$OrigPassword = $OrigPassword . $OrigLetter; 
 
} $password = $OrigPassword; 
 
echo "Script thinks this is the password = $password\n";

Answer 2

Этот вопрос был задан и ответил много раз здесь (но не специально для Документов Google). Короткий ответ: вы ничего не можете сделать.

Более длинный ответ, что вы можете уменьшить возможность полномочий быть скомпрометирована:

• используя учетные данные пользователя, а не хранятся в коде
• , используя маркеры, предоставленные пользователем в качестве средства дешифрования учетные данные хранятся в коде (но это становится очень сложным, с большим количеством пользователей)
• хранением учетных данных в включаемого хранящихся вне корня документа

Answer 3

Лучший способ скрыть пароль - сохранить его во внешнем файле, а затем включить его в свой php-скрипт. Ваш файл с этим паролем, например, «config.php» должен быть выше DOCUMENT_ROOT, чтобы сделать его неприемлемым через браузер. Это обычное aproach и, например, вы можете увидеть его в структуре каталога Zend Framework, где для пользователя отображается только «общедоступный» каталог. Правильный CHMOD также должен быть установлен в этот файл.

В разделе this link у вас есть структура каталогов ZF, где вы можете проверить расположение файлов конфигурации.